Les 10 clefs de la qualité des données - pwc.fr · La qualité des données est loin d’être un...

Club Solvabilité 2

Les 10 clefs de la qualité des données

Juin 2015

www.pwc.fr/assurance

2 Club Solvabilité 2 |Sommaire

SommaireRemerciements 1

Introduction 3

1. Bien comprendre les exigences du régulateur 4

2. Prendre conscience de l’ampleur du projet 8

3. Mettre en place une procédure « Qualité des données » 12

4. Définir clairement le périmètre 16

5. Identifier les bons acteurs 18

6. Établir une fonction de contrôle transverse 22

7. Se doter des bons outils 26

8. Ne pas oublier les basiques de la sécurité de l’information 28

9. Avoir une vision à long terme 32

10. Faire de la Qualité des données un atout de sa stratégie d’entreprise 36

Conclusion 41

Glossaire 42

Annexes 43

Contacts 50

PwC 1

RemerciementsNous tenons à remercier les membres du Club « Solvabilité 2 » pour leur participation à cet ouvrage, ainsi que l’ensemble des professionnels impliqués dans les échanges qui nous ont permis de mener à bien cette réflexion sur la qualité des données dans le cadre de la mise en œuvre de Solvabilité 2.

L’ensemble des messages mentionnés dans ce livret sont issus d’un petit déjeuner organisé par PwC le 1er avril 2015 dans le cadre du Club Solvabilité 2, auquel ont participé les deux professionnels ci-dessous que nous remercions tout particulièrement :

• Grégoire Vuarlot, ACPR, Adjoint au Directeur des Contrôles spécialisés et transversaux.

• Ekrame Benbagta, SHAM, Responsable Contrôle interne et Qualité des données.

À propos de Sham

Créée en 1927, Sham est une société d’assurance mutuelle spécialisée dans l’assurance et le management des risques des acteurs de la santé, du social et du médico-social, opérateur de référence français en matière de responsabilité civile. Sham compte 9 467 sociétaires – personnes physiques et morales – et gère 1,7 milliard d’actifs. Basée à Lyon, Sham emploie 330 personnes et a réalisé 311,4 M€ de chiffre d’affaires en 2014. www.sham.fr

2 Club Solvabilité 2 |Remerciements

PwC 3

IntroductionAbordé dans les trois piliers réglementaires de Solvabilité 2, le sujet de la qualité des données est transversal. Si, en apparence, les exigences du régulateur sont simples et se construisent notamment autour des trois critères que sont l’exhaustivité, l’exactitude et le caractère approprié des données utilisées pour la construction des modèles, la mise en œuvre opérationnelle de ces critères n’est pas facile à appréhender.

Le projet « qualité des données » est un projet d’envergure, qui doit impliquer jusqu’aux plus hauts niveaux hiérarchiques. Il doit respecter un certain nombre de règles que nous avons ordonnées autour de dix « points clefs ». Ces points clefs constituent des repères et entendent répondre aux principales questions que se posent actuellement tous les acteurs

du secteur notamment sur la mise en place de leur politique Qualité des données, sur les personnes et les équipes à mobiliser sur le projet, sur les outils nécessaires, ou encore sur la façon de garantir, à long terme, la pérennité de son système qualité des données.

La qualité des données est loin d’être un sujet neuf, mais sa mise en exergue sous un prisme réglementaire permet aujourd’hui de se reposer les bonnes questions en matière de gouvernance opérationnelle. Les réponses apportées aujourd’hui sont autant de garanties pour faire face à d’autres demandes réglementaires à venir. Mais surtout, les entités les mieux organisées y gagneront un avantage concurrentiel par un meilleur suivi de leurs données internes mais également de leurs données externes.

Les cinq mythes de la qualité des données

• « La qualité des données est avant tout affaire de la DSI »

• « La mise en place d’un datawarehouse permettra de répondre à tous les problèmes »

• « La mise en œuvre d’un projet Qualité De Données (QDD) jusqu’à 2016 sera suffisante pour satisfaire le régulateur »

• « La meilleure manière d’organiser un dispositif QDD est de décentraliser totalement les responsabilités »

• « La qualité des données est une discipline nouvelle »

TÉMOIGNAGE

L’avis du Régulateur : Grégoire VUARLOT, ACPR

« Le régulateur a observé de nettes améliorations en matière de qualité des données ces six derniers mois, mais il reste encore beaucoup de chemin à parcourir... »

4 Club Solvabilité 2 |1. Bien comprendre les exigences du régulateur

1. Bien comprendre les exigences du régulateur

PwC 5

ExhaustivitéExactitudeCaractère approprié

Article 19/231

Définition des critères relatifs aux données

Articles 219/ 244/265/272

Appréciation de la qualité des données

Article 19 (4)

Utilisation des données externes

Article 20

Limites des données

Compilation des données dans un répertoireRôle de la fonction actuarielleDocumentation du processus de validation

Conditions complémentaires pour les données externesUtilité / TraçabilitéCaractéristiques des données externes

Documentation des limitesDescription d’un plan de remédiationConservation des données à ajuster

Les exigences en matière de qualité des données dans le cadre de Solvabilité II se sont précisées le 17 janvier 2015, avec la publication définitive du règlement délégué 2015/35 de la Commission du 10 octobre 2014 (complétant la directive 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice, dit Solvabilité II, voir : http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32015R0035&from=FR, dont certains extraits figurent en Annexes).

Rappel des exigences réglementaires

Ce sont les textes de niveau 2 qui donnent le plus d’informations et de précisions sur la qualité des données, via quatre séries d’articles

Ainsi, le régulateur pose ses exigences en matière de qualité des données autour de trois principaux critères :

• L’exhaustivité, avec une profondeur d’historique suffisante pour apprécier les risques sous-jacents et une notion de disponibilité des données. Il induit également la nécessité de se justifier lorsqu’une donnée pertinente a été exclue.

• L’exactitude. Attention, le régulateur précise qu’une donnée doit être cohérente dans le temps et rafraichie régulièrement.

• Le caractère approprié. En effet, les données doivent être adaptées aux besoins de leurs utilisations.

Des précisions sont également apportées sur la compilation des données dans un répertoire et le rôle de l’actuariat dans le dispositif.

Au-delà de ces trois critères, le régulateur a ajouté des conditions complémentaires, en cas d’utilisation de données externes. En effet, il faudra démontrer que ces données sont plus adaptées que les données disponibles en interne, que l’on peut mesurer leurs origines et disposer sur ces données d’une piste d’audit (comme pour les données internes). Et, en cas de limites sur les données, il faudra définir les plans d’actions à mettre en place et conserver tous les ajustements éventuellement apportés.

6 Club Solvabilité 2 |1. Bien comprendre les exigences du régulateur

• Définition du périmètre

• Documentation des flux

• Évaluation des risques sur les données

• Positionnement des contrôles pour couvrir les risques

• Évaluation en continue de la qualité

• Comités qualité des données

• Évaluer les données et les contrôles pour s’assurer que les critères de qualité sont atteints

• Des contrôles généraux informatiques doivent être en place pour assurer l’intégrité et la disponibilité des données

• Évaluer et remédier les déficiences

ApprochePérimètre des données

Risques

Contrôles

Supervision

Évaluation de la qualité des donnéesContrôles

Informatiques

Évaluation et remédiation

Politique Qualité des données

Dictionnaire des données

Évaluation des risques et des impacts

Cartographie des flux

Cartographie des contrôles

Gouvernance des données

Liste des déficiences

1

2

3 4 5

Quels sont les livrables clefs attendus ?

Le régulateur attend un certain nombre de livrables de référence, structurants, aboutissements de chantiers présentés ci-dessous.

Le thème de la qualité des données est transversal dans Solvabilité 2. Il est essentiel dans le cadre de la définition du modèle (pilier 1), mais aussi dans le cadre de l’Orsa (pilier 2) et enfin, pour construire le reporting réglementaire (pilier 3).

Karine Pariente Directeur PwC

TÉMOIGNAGE


« Solvabilité 2 va beaucoup plus loin que le régime actuel en matière de qualité des données. Les textes formalisent les critères comme jamais auparavant. Et ce quelle que soit l’approche retenue par l’entité : tant en formule «standard» que dans les paramètres spécifiques ou la modélisation interne ».

8 Club Solvabilité 2 |2. Prendre conscience de l’ampleur du projet

2. Prendre conscience de l’ampleur du projet

PwC 9

Dé�nir le dispositif Mesurer la qualité

Priorité 1 : Roder le dispositif sur un périmètre restreint

Priorité 2 : Couvrir les données du périmètre S2

Priorité 3 : Entités contributrices consolidées et sous-traitants

Corriger les anomalies

Suivre les indicateurs

Réalisé fin 2014

Périmètre des données

Mise en œuvre des activités QDD

3

Les porteurs de risque doivent• Démontrer leurs capacités à fiabiliser leurs données

• Posséder une feuille de route

Axer les priorités sur• Le déploiement de l’ensemble du dispositif

• Sur un périmètre restreint -> Données/risques les plus matériels

• Affaires directes -> gestion déléguée : matérialité des portefeuilles ?

Capacité à construire ce dispositif dans le temps

1 2

D’ici 2016, les porteurs de risque doivent démontrer leur capacité à fiabiliser leurs données et à posséder une feuille de route. Les priorités doivent être axées sur le déploiement de l’ensemble du dispositif à un périmètre, tout d’abord restreint puis progressivement élargi aux filiales et à la gestion déléguée.

Quels objectifs pour 2016 ?

Quelles sont les priorités ?

Itérer sur la pertinence des tests et de leurs positionnements dans l’organisation permet d’améliorer et de perfectionner la cible jusqu’à l’objectif ultime du projet : l’industrialisation du dispositif avec la mise en place de tableaux de bord fiables et robustes permettant de piloter la qualité de données en « continu », sur le long terme.

10 Club Solvabilité 2 |2. Prendre conscience de l’ampleur du projet

Quels objectifs pour 2016 ?

Priorité ultime : Industrialisation du dispositif. Le dispositif mis en œuvre est voué à devenir autonome et à s’industrialiser.

Le projet qualité de données a une forte teneur collaborative.

Ekrame Benbagta Sham

TÉMOIGNAGE

Ekrame BENBAGTA, SHAM

Les difficultés d’un projet « qualité des données »

« Le projet qualité des données est un projet d’envergure. Il demande de vrais moyens et une vraie gouvernance, sans négliger le service de nos clients, qui demeure notre priorité avant tout. L’un des grands enjeux est de faire vivre le projet sur le long terme. Chez Sham, nous sommes en « phase projet » depuis déjà un an et demi et ce n’est pas fini : il faut donc un suivi dans le temps très serré, avec une forte mobilisation de l’ensemble des acteurs, actuaires, risk managers, gestionnaires, etc. sur la durée. Par ailleurs, nous allons utiliser l’outil «Qual’net» pour y consigner nos référentiels et mettre en routine le processus qualité des données (campagne de contrôles, opinions sur les données, reporting au comité QDD). Enfin, il faut en permanence communiquer - et partager - avec le plus grand nombre de personnes. Cela implique de mettre en place un plan de communication, des réunions d’équipes, des réunions managers et des supports de sensibilisation... ».

PwC 11

12 Club Solvabilité 2 |3. Mettre en place une procédure « Qualité des données »

3. Mettre en place une procédure « Qualité des données »

PwC 13

Existence d’une politique formalisée de qualité des données

OuiNon

0%

2015

2014

2013

20% 40% 60% 80% 100%

38%

29%

31%

62%

71%

69%

25%

Source : Enquête annuelle ACPR sur l’état de préparation du marché

Selon la dernière enquête (1) menée par l’ACPR sur la préparation du marché français à la mise en place de Solvabilité 2, la mise en place d’un système de gouvernance des données semble encore assez rare : 45 % des participants à l’enquête ont indiqué ne toujours pas disposer d’un système de gouvernance des données (contre 48 % en 2013). Ils étaient 68 % à ne pas disposer d’une politique formalisée de qualité des données.

(1) Questionnaire de préparation 2014 réalisé par l’ACPR. Quelque 460 organismes ont répondu, représentant plus de 99 % du marché Vie et 89 % du marché Non-vie. 388 organismes ont également remis un questionnaire qualitatif (certains valant pour plusieurs entités d’un groupe).

Le document « politique de qualité des données » n’est plus obligatoire en tant que tel mais les textes précisent noir sur blanc qu’il faut désormais une « procédure documentée » qui comprenne a minima :

• les critères de qualité,

• le processus de traitement des données,

• le processus d’actualisation, etc.

Bref, si le nom n’y est plus, la procédure documentée, elle, doit demeurer.

14 Club Solvabilité 2 |3. Mettre en place une procédure « Qualité des données »

« Il n’est plus nécessaire d’avoir une « politique qualité de données », mais il faut une procédure qui décrit les principes de cette politique ».

Karine Pariente Directeur PwC

TÉMOIGNAGE


« Nous avons développé chez Sham, un modèle interne partiel qui est actuellement en cours de revue par l’ACPR. L’une des premières étapes a été d’écrire notre politique « qualité de la donnée » et de mettre en place une véritable gouvernance interne du projet. La politique décrit les principes directeurs de la gestion de la qualité de la donnée, sur la base des textes réglementaires et en s’appuyant sur nos activités de contrôle interne. Elle décrit également la gouvernance et l’organisation de la qualité des données, pose les rôles et les responsabilités, notamment pour le nouveau rôle de « propriétaires de données » et pour les responsables des contrôles. La politique décrit par ailleurs les principes et modalités de suivi et donne la définition des outils mis à disposition des acteurs du projet. Par ailleurs, nous avons inscrit un comité « qualité de la donnée » au sein de notre comitologie. Ce comité se tient trimestriellement et s’assure que les principes de notre politique « qualité de la donnée » sont en place et fonctionnent ».

PwC 15

16 ClubSolvabilité2|4.Définirclairementlepérimètre

4. Définir clairement le périmètre

PwC 17

Le périmètre du projet « Qualité de données » n’est pas facile à définir. En particulier parce qu’il ne faut pas se tromper dans l’objectif : il s’agit de définir les données clefs, celles qui contribuent au calcul du modèle en se basant sur des données existantes et non sur des données cibles. Il est important également de cartographier les flux d’acheminement des données. En effet, suivre les étapes nécessaires pour arriver au calcul du modèle permet d’identifier les risques et leurs impacts, mais aussi d’identifier les données clefs non disponibles.

Qu’est-ce qu’un répertoire de données ?

Le régulateur impose la mise en place d’un dictionnaire ou répertoire de données, compilant toutes les données utilisées avec, pour chacune d’elles, cinq informations clefs :

• la source de la donnée

• ses caractéristiques

• son usage

• la façon dont elle a été extraite

• comment elle va être utilisée.

TÉMOIGNAGE


« Après la mise en place de notre politique, la deuxième brique que nous avons posée dans notre projet « Qualité des données » a été la construction d’un dictionnaire de données, contenant notamment une description la plus fine possible de chaque donnée, son utilisation, son emplacement dans les bases et les systèmes d’information et son niveau de criticité. Notre référentiel QDD inclue également une cartographie des flux, qui formalise toutes les filières d’acheminement de la donnée et une matrice des risques et contrôles. Cette matrice comprend tant les contrôles existants au sein de l’activité de contrôle interne, que des contrôles cibles à mettre en place ».

18 ClubSolvabilité2|5.Identifierlesbonsacteurs

5. Identifier les bons acteurs

PwC 19

« La qualité des données n’est pas l’affaire d’un service mais l’affaire de tous. »

Germain Hervé Senior Manager PwC

Impliquer la direction générale

Comme pour tous les projets importants de l’entreprise, l’impulsion se doit d’être donnée au plus haut niveau. Si l’intégration du sujet de la qualité des données dans la gouvernance globale des entités a progressé, elle reste encore insuffisante : la qualité des données est un thème encore souvent localisé au niveau intermédiaire, alors qu’il devrait concerner le plus haut niveau de la hiérarchie. Notamment pour permettre le maintien, sur le long terme, des objectifs...

Définir les responsables des données

Les textes réglementaires indiquent que la fonction actuarielle doit s’assurer de la qualité des données. Toutefois, il apparaît que cette fonction ne peut en aucun cas être la seule garante de la qualité. Pour réussir un projet de qualité des données, cette responsabilité des données doit être partagée dans l’entreprise : la qualité des données est avant tout l’affaire des directions métiers. Seuls les métiers sont en mesure, en effet, de définir le périmètre des branches et des données nécessaires, de les répertorier, d’établir les priorités et la matérialité des données. C’est aux métiers de décliner les directives en tests opérationnels et de répondre aux questions sur le niveau de qualité nécessaire, pour les provisions comme pour les QRT (Quantitative Reporting Templates).

TÉMOIGNAGE


« Pour définir le propriétaire des données, nous nous sommes basés sur notre dictionnaire : la maille de la donnée et sa localisation dans le système d’information permettent de trouver le propriétaire de chaque donnée, presque intuitivement. Par exemple, on voit clairement pour des mailles très fines, comme les numéros de contrat, numéros de sinistre, que les gestionnaires ou leurs managers sont naturellement propriétaires des données. En revanche, les données agrégées relèvent en général du périmètre des actuaires ou des « risk managers ».

20 ClubSolvabilité2|5.Identifierlesbonsacteurs

Donner à la DSI son juste rôle

Certains professionnels estiment que la qualité des données est avant tout l’affaire de la DSI (Direction des systèmes d’information) car les DSI disposent souvent d’une cellule Business Intelligence et d’une « culture projet » qui leur permet de comprendre les nouveaux besoins en matière de gestion des données. Toutefois, sans cadre ni besoins exprimés, les DSI ne pourront fournir que ce qu’elles ont « en stock ».

Par exemple, elles ne pourront proposer de tests permettant de justifier du caractère approprié des données. Enfin, si elles peuvent gérer les applications informatiques de leurs périmètres, les bases métiers parallèles (bases Access, excel, etc.) en sont de fait exclues... Concrètement, la DSI doit participer au dispositif mais elle ne pourra en aucun cas remplacer les métiers.

Sur le terrain, nous avons observé que la gouvernance « qualité de données » est issue à 80% des métiers (directions des risques, direction actuarielle, la gestion, etc.), pour 20% sur la DSI (ceux qui gèrent les applications des données à mettre sous contrôle).

PwC 21

TÉMOIGNAGE


Les six principaux acteurs du projet « qualité de la donnée » chez Sham :

• La direction générale et la direction des risques. Ce sont des acteurs majeurs du projet puisqu’ils doivent mobiliser toutes les parties prenantes. Ils sont aussi les garants de la qualité de la gouvernance du projet et de la pérennité du projet.

• Le contrôle interne. C’est le chef du projet : il fait le lien entre la gouvernance et le projet, et suit les plans d’actions écrits et partagés. Il veillera aussi, en mode pérenne, au bon fonctionnement des contrôles et des processus mis en place, mais il veille aussi à ce que la qualité de données soit intégrée dans les activités quotidiennes des collaborateurs et renforce le dispositif de contrôle interne.

• Actuaires et risk managers. Acteurs majeurs dans la définition du modèle, ils ont un rôle clef notamment dans la détermination de nos trois niveaux de criticité des données. Ils fixent aussi les seuils de qualité attendus. Dans la période ultérieure, durant le mode pérenne, ils fourniront une opinion sur chacune des données qui alimenteront le modèle.

• Les propriétaires de données. Ce nouveau rôle dans la compagnie a été attribué récemment : à des managers en souscription, en sinistres, à des actuaires, etc. Chacun d’eux s’est vu donner une « fiche mission », élaborée en partenariat avec les ressources humaines, pour amender leur fonction principale. Attention, la DSI ou Direction des systèmes d’information n’est pas propriétaire de données, car elle ne crée ni ne transforme aucune donnée.

• Les responsables de contrôle. Ils sont responsables des contrôles sur la donnée et rapportent les résultats de ces contrôles aux propriétaires de données.

• La DSI est garante du bon fonctionnement et de la fiabilité du système d’information sur tout le cycle de vie de la donnée : depuis son input dans le système d’information jusque sa transformation, son extraction, son déversement dans le datawarehouse (et Datamart) et son archivage. La DSI est aussi le garant de la disponibilité de la donnée, de la profondeur d’historique définie par les métiers, l’actuariat/risk management.

22 Club Solvabilité 2 |6. Établir une fonction de contrôle transverse

6. Établir une fonction de contrôle transverse

PwC 23

Les grands groupes s’imaginent souvent que la meilleure façon d’organiser son dispositif de qualité de données est de totalement décentraliser le processus. S’il est vrai que les propriétaires des données sont souvent ceux qui les produisent ou les transforment, il est nécessaire de mettre en place un pilotage transverse et centralisé pour coordonner le dispositif et l’ensemble des personnes impactées et ainsi permettre l’obtention de données homogènes en vue de leur consolidation.

Concrètement, il faut une équipe pour communiquer sur le sujet de la qualité de donnée, dans un langage commun. Pour penser et définir les tests, par exemple sur l’intégrité des données. Mais la cellule doit aussi avoir un rôle d’alerte et éclairer tous les acteurs de l’entreprise sur les constantes évolutions de la réglementation. Enfin, seul un service central peut avoir une vision globale de la qualité des données de l’entreprise, juger si cette dernière qualité répond effectivement aux critères exigés par le régulateur et éventuellement piloter les améliorations nécessaires.

Nous avons noté que, dans de nombreuses entreprises, la fonction transverse de contrôle de la qualité des données est portée par les fonctions risques ou contrôle interne, déjà dotées d’une position transverse dans l’entreprise et capables d’intervenir dans tous les services...

« Le dispositif de qualité des données doit être piloté de manière transverse et centralisé. Il faut mettre en place un langage commun et des outils partagés. »


TÉMOIGNAGE


« La réglementation raisonne par objectif : elle ne prône pas des structures ou des solutions, mais veut des résultats en matière de qualité des données, pour aboutir à un calcul prudentiel plus fin et plus proche de la réalité ».

« La qualité des données ne regarde pas que les personnes qui travaillent sur les systèmes d’information : elle doit être un enjeu global pour l’entreprise et donc concerner sa gouvernance d’ensemble. De fait, la qualité des données est un sujet transversal : ce n’est ni un sujet vertical, ni une fonction ne touchant qu’un seul métier. Elle concerne tous les acteurs de l’entreprise, tant métiers opérationnels que supports. D’autant que c’est un élément majeur pour le pilotage de l’entreprise : l’amélioration de la qualité des données renforce la rapidité et l’agilité de la prise de décision. »

24 Club Solvabilité 2 |6. Établir une fonction de contrôle transverse

Faut-il un Chief Data Officer ?

Fonction actuellement émergente sur le marché, le CDO ou Chief Data Officer est responsable de la maîtrise des données, il en manage les risques et génère des opportunités qui en découlent. Il est en charge, sur le long terme, du maintien et de l’évolution permanente du dispositif mis en place dans le cadre du projet « qualité de données ». Ses compétences ? Elles doivent être de haut niveau car il lui faut être présent sur des zones opérationnelles, fonctionnelles et managériales. Il doit avoir une expertise IT, mais aussi de réelles compétences métiers.

Si le rôle est aujourd’hui largement centré sur des problématiques de gouvernance, il sera amené, à terme, à évoluer vers le « data management ». En effet, une fois les données du périmètre « Solvabilité 2 » fiabilisées, le CDO travaillera sur les données externes puis, à long terme, sur l’amélioration des indicateurs de pilotage de l’entreprise. Cela signifie que le positionnement vertical du CDO doit être assez haut : soit au niveau d’une direction des risques, soit directement au niveau du Comité Exécutif. Horizontalement, son positionnement doit lui permettre de discuter avec toutes les fonctions et tous les métiers de l’entreprise… sa capacité à communiquer avec l’ensemble de ces acteurs sera essentielle.

PwC 25

26 Club Solvabilité 2 |7. Se doter des bons outils

7. Se doter des bons outils

PwC 27

En marge de leur projet Solvabilité 2, de nombreuses entreprises développent des réflexions sur la mise en place d’entrepôts de données (Datawarehouse) ou de logiciels gérant les référentiels de façon automatique (systèmes MDM ou Master Data Management). Mais attention : si ces systèmes industrialisés peuvent permettre de faciliter la mise en place de contrôles automatisés sur un bout de la chaîne de production, ils ne répondent qu’à une partie des besoins.

Ainsi, si un datawarehouse peut répondre aux exigences de traçabilité et d’intégrité, d’autres exigences du régulateur resteront sans réponse, car ces systèmes ne définissent aucune organisation, ne créent pas de référentiel de données, ni même de tableau de bord suffisamment bien pensé pour piloter la qualité des données sur toute la chaîne de production. Les MDM peuvent quant à eux être pertinents lorsqu’il y a des ressaisies de données ou lorsque les chaînes de production sont disséminées. Mais ils ne pourront se substituer à un véritable dispositif de contrôle et de gestion globale des données.

Concrètement, les entrepôts de données et les systèmes MDM sont un moyen d’améliorer la qualité de données, mais ce n’est qu’un moyen partiel : de mauvaises données en entrée resteront mauvaises en sortie, elles seront simplement bien organisées...

Si Solvabilité 2 entraîne des exigences réglementaires nouvelles, des livrables spécifiques et des procédures documentées d’un nouveau type, la démarche Qualité des données n’est pas un exercice inédit. La fiabilisation des opérations relève d’une

démarche très classique qui repose avant tout sur une bonne connaissance des activités et des processus sous-jacents : il s’agit de détecter des risques - opérationnels ou liés aux systèmes d’informations - puis de piloter les remédiations nécessaires. Si, dans le cadre de Solvabilité 2, on regarde avant tout l’impact sur les indicateurs techniques et le SCR, le principe et les méthodologies sont largement répandus. Et beaucoup d’opérationnels font déjà de la qualité de données... sans le savoir. Ainsi, dans bien des cas, des outils ont déjà été mis en place pour répondre aux exigences de contrôle interne. Attention, même aux doublons, notamment avec les outils installés dans le cadre de la réglementation bancaire ou pour répondre à des réglementations de type Sarbanes-Oxley. Une attention particulière est donc à porter aux cartographies des processus et des contrôles.

Le projet Qualité de donnée constitue finalement une occasion de revisiter tous ses processus et les revues de qualité et de performance en sont les premiers vecteurs. Dans bien des cas, il ne sera pas nécessaire d’ajouter de strate organisationnelle très lourde pour gérer ses contrôles, il sera possible (et même préférable) de venir « greffer » les activités de qualité des données à l’existant. Il s’agira avant tout de mettre en place un process de pilotage qui récupère les bons indicateurs, via des systèmes de suivi d’activité existants : système qualité, suivi de performance, contrôle interne, etc. La qualité des données n’est finalement rien d’autre qu’un dispositif classique de fiabilisation de ses activités opérationnelles, existantes et à venir.

« Ceux qui réussissent sont ceux qui intègrent leurs projets de datawarehouse ou de MDM dans des cadres plus larges que Solvabilité 2, avec une vision business et une vision prospective. »


« L’IT fournit des logiciels, mais pas des Magi-ciels »

Jimmy Zou Associé PwC

TÉMOIGNAGE


« L’amélioration de la qualité des données se fait trop souvent indépendamment - ou de façon insuffisamment intégrée - avec les démarches d’amélioration du contrôle interne. Ce sont deux démarches qui ont pourtant beaucoup en commun : elles doivent être menées de conserve pour permettre la pérennité de la qualité des données. Et pour que la démarche profite à toute l’entreprise. »

28 Club Solvabilité 2 |8. Ne pas oublier les basiques de la sécurité de l’information

8. Ne pas oublier les basiques de la sécurité de l’information

PwC 29

La cyber-insécurité des données

En 2014, le nombre d’incidents de sécurité détectés en France a augmenté en France de 34%. Une entreprise française détecte environ 13,9 incidents par jour. Pourtant, le rapport « Trustwave Global Security Report » estime que 71% des attaques ne sont toujours pas détectées. Les pertes financières liées à des incidents de cybersécurité sont estimées en moyenne à 2,9 millions de dollars en France, en augmentation de 93% par rapport à 2013.

Un projet Qualité des données peut être l’occasion de déceler des failles importantes dans la sécurité des systèmes d’information plus globale de l’entreprise. Se rendant compte que les données utilisées dans le cadre de Solvabilité II reposaient sur des infrastructures techniques et des applications dont il fallait vérifier la solidité, beaucoup de nos clients ont d’ailleurs mis en place dans leur projet Qualité des données un « sous-projet » sur les contrôles informatiques. Au point, pour certains grands groupes de lancer des initiatives à part entière. Initiatives dont l’objectif est de vérifier que les données sont bien :

• sécurisées,

• sauvegardées,

• et archivées.

30 Club Solvabilité 2 |8. Ne pas oublier les basiques de la sécurité de l’information

PwC 31

201442,8

201328,92012

24,9201122,7

20109,4

20093,4

Évolution du nombre d’incidents détectés dans le monde (en millions) de 2009 à 2014

TÉMOIGNAGE


« Si les nouvelles technologies offrent des opportunités, elles constituent également des risques, qu’il convient d’intégrer très en amont. Ainsi, nous estimons qu’il faut être très vigilant concernant le Big Data. Il ne faut pas que, sous prétexte de démarche nouvelle, l’entreprise se retrouve en défaut de capacité : les volumes à gérer sont très importants et leur traitement est compliqué. D’autre part, en se concentrant sur une population cible très limitée, les entreprises risquent la discrimination. Lorsqu’une entreprise réfléchit à une infrastructure Cloud, elle doit là aussi être très attentive à la protection des données et encadrer strictement sa relation avec son prestataire, afin de pouvoir auditer ce dernier et se garantir la réversibilité du dispositif. Enfin, le cyber risque est un sujet majeur. C’est un risque lié à la sécurité des systèmes d’information en général et qu’il convient d’intégrer à toutes les démarches de l’entreprise. »

Les cinq étapes pour une stratégie de cybersécurité efficace

• S’assurer que votre stratégie de cybersécurité est en adéquation avec vos objectifs métiers

• Identifier les actifs les plus importants de l’entreprise, les plus sensibles, et prioriser la protection de ces informations

• Comprendre les menaces pesant sur votre entreprise et vos adversaires, connaître leurs objectifs, leurs ressources et leurs méthodes en vue d’améliorer vos capacités de détections

• Évaluer les pratiques Cybersécurité de vos partenaires et de l’ensemble des parties prenantes à l’entreprise et s’assurer qu’ils appliquent vos politiques de cybersécurité.

• Collaborer avec vos pairs afin d’augmenter votre compréhension des cyber-menaces, votre connaissance des tactiques de vos adversaires et mettre en œuvre les stratégies de réponse à incident.

Source : Enquête PWC de mars 2015 « Global State of Information Security Survey 2015 ». Vous pouvez en retrouver les résultats détaillés sur notre site, « La gestion des cyber risques dans un monde interconnecté ».

32 Club Solvabilité 2 |9. Avoir une vision à long terme

9. Avoir une vision à long terme

PwC 33

« La pérennité du dispositif Qualité des données dépend de la capacité de l’entreprise à l’inscrire dans son organisation actuelle. »

Jimmy Zou Associé PwC

Les plans d’actions et les procédures Qualité des données mis en place ne doivent pas avoir pour seul objectif de répondre aux impératifs du 1er janvier 2016. La démarche doit s’inscrire dans le long terme, de même que son évaluation et les tests qualitatifs et quantitatifs mis en place. Loin d’être une opération « one shot », c’est sur la durée qu’il faudra faire vivre le dispositif. En pratique, beaucoup d’entreprises financent leur projet « qualité de données » dans le cadre de leurs budgets « Solvabilité 2 » mais, l’essentiel, notamment pour le régulateur, est la pérennité du dispositif de suivi de la qualité des données. Au-delà du 1er janvier 2016, le sujet devra donc aller crescendo et s’affranchir de la mise en place de Solvabilité II. Ce qui implique, dès aujourd’hui, d’intégrer la Qualité des données dans ses processus à long terme. Par exemple, en l’inscrivant à l’ordre du jour de comités existants...

TÉMOIGNAGE


« Le 1er janvier 2016 n’est pas l’ultima ratio de la qualité des données. C’est une étape importante, mais le souci doit perdurer au-delà de la date d’application de Solvabilité 2. Les process mis en place doivent être en mesure d’intégrer les nouvelles activités et les développements futurs de l’entreprise. »

TÉMOIGNAGE


« Le système que nous sommes en train de concevoir et de développer (outil de la société Qual’net) ne touche pour le moment que la qualité de la donnée, mais à terme la cible est que cela devienne également un système de suivi du contrôle interne. »

34 Club Solvabilité 2 |9. Avoir une vision à long terme

Niveau de qualité

Niveau de qualité souhaité

Tempst0-Initialisation

t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Niveau de qualité



t0+P

t0+2P

t0+3P

t0+4P

Sur le terrain, nous avons observé trois types de comportement :

• la gestion a minima : ceux qui travaillent la qualité dans le cadre d’un projet puis s’arrêtent. La qualité des données s’améliore dans un premier temps qui le temps « projet », puis redescend.

• la pérennisation sans adhésion : ceux dont le dispositif fonctionne, mais sans réelle adhésion des opérationnels. Il faut des sanctions fortes de la direction ou du top management pour traiter le sujet. On constate alors que la qualité va progressivement décroître.

• les processus d’amélioration continue : enfin, ceux qui ont inscrit les processus dans l’organisation actuelle et dont, en outre, les équipes perçoivent bien l’utilité de la démarche d’industrialisation de la qualité des données. Dans ce modèle, chacun comprend l’utilité, au quotidien de la démarche qualité. Par exemple, qu’un nettoyage de fichiers Excel automatisé va ensuite faciliter les rapprochements et permettre un travail plus fiable et plus rapide, permettant de dégager du temps pour des tâches plus intéressantes...

PwC 35

36 Club Solvabilité 2 |10. Faire de la Qualité des données un atout de sa stratégie d’entreprise

10. Faire de la Qualité des données un atout de sa stratégie d’entreprise

PwC 37

« Il ne faut pas un processus de qualité de données, mais la qualité des données dans tous ses processus. »


Au-delà de la stricte obligation réglementaire – et des risques encourus en cas de non-respect – le sujet de la Qualité des données doit être appréhendé de façon positive, comme une opportunité. Il peut tout d’abord permettre à l’entreprise de faire face aux réglementations de plus en plus nombreuses qui vont s’imposer à elle avec plus d’agilité (lutte anti-blanchiment, Fatca, CRS etc.). Par ailleurs, forte de données exhaustives et justes, l’entreprise disposera d’un meilleur outil de pilotage. Elle pourra, par exemple, établir un pricing plus pertinent et développer des stratégies de souscription plus fines. Enfin, la qualité de données constitue une fondation solide et nécessaire pour maîtriser également les données externes, issues des réseaux sociaux, des smart phones, ou de « l’open data ». La maîtrise des informations, leur vision partagée et la mise en place de répertoires constitue le socle d’une gouvernance

de gestion et de collecte des informations issues du « big data » pouvant donner un fort avantage concurrentiel à l’entreprise. Et ce même à court terme : les nouveaux boîtiers connectés dans les véhicules livrent déjà des informations sur les distances parcourues, les vitesses, l’accélération, etc., que l’on peut croiser avec des données techniques comme l’état des plaquettes de frein, la maintenance et l’entretien. Autant de données qui permettent d’abord une meilleure connaissance des clients et de leur comportement pour, éventuellement, adapter les tarifications ou les messages de prévention... À condition, bien sûr, de maîtriser la qualité de ses données, et de ne pas omettre les questions sous-jacentes de droit, de protection des données et de sécurité de l’information.


Domaines d’applications du Big DATA

Nouveau produit

Nouveau produit

Sinistre-RachatMarketing

Souscription

Etude du marché, développement des nouveaux produits, connaissance du risque et tari�cation

MarketingSegmentation, cross selling, prévention des résiliations, campagnes commerciales

SouscriptionConnaissance accrue et gestion des demandes du client

Sinistre-RachatPrévention et lutte contre la fraude, ef�cacité de la chaîne de des intervenants (experts, réseaux soins, réparateurs agréés)

Les déclarations frauduleusesScore de risque de fraude par analyse des déclarations de sinistre auto.

Le comportement sur InternetOutil prédictif Big data pour la vente de produit en fonction du comportement sur Internet.

L’analyse des sentimentsOptimisation de la gestion des sinistres, de la détection de fraude et de du suivi de campagne marketing par écoute des réseaux sociaux

Les risques climatiquesIndemnisation automatiques en fonction de données climatiques.

La traque des évènementsCampagnes de trigger marketing cross-canal basées sur les événements provoqués par l'assuré

Le parcours d’un véhiculeLes offres d'assurance auto « Pay-How-You-Drive »

Le crowd-InnovationConcours pour la création d’un outil de prédiction de sinistres auto 271% plus pertinent

La pratique sportiveRécompense pour les assurés sportifs et connectés.

Nouveau produit

Nouveau produit


Souscription













Nouveau produit

Nouveau produit


Souscription





















PwC 39

« La qualité de données constitue un socle organisationnel et informatique pour un meilleur développement de l’entreprise. »

Arnaud Fritz Associé PwC

TÉMOIGNAGE


« La qualité des données peut se développer au bénéfice de l’entreprise » « Le respect de la réglementation est indispensable mais ce qui est intelligent, c’est de s’en servir pour améliorer les processus de l’entreprise : on peut concevoir la qualité des données comme un moyen d’améliorer le contrôle interne. Elle participe à la fiabilité et constitue un avantage concurrentiel important pour le présent et pour le futur des entités car elle conduit à s’interroger sur la structure des systèmes d’information et in fine, à renforcer son organisation. »

PwC 41

ConclusionAu cœur des contraintes de Solvabilité II et abordé dans les trois piliers réglementaires, le sujet de la Qualité de données est à la fois complexe et transversal. Sa mise en œuvre requiert un projet d’envergure, qui nécessite l’implication des plus hauts niveaux hiérarchiques de l’entreprise, mais aussi de l’ensemble de la structure, en raison de son caractère collaboratif. La réussite ne pourra être obtenue que grâce à l’implication, notamment, des actuaires, des gestionnaires métier, comme des responsables des risques et du contrôle interne, comme de la direction des systèmes d’information et par la mise en place d’une véritable gouvernance de la qualité de données.

Les dix « points clefs » que nous avons recensés ici sont autant de pistes pour aider à la mise en place du projet. Ils constituent des repères qu’il conviendra bien évidemment d’adapter à chaque structure afin de faire de la qualité des données non pas une contrainte, mais un élément différenciant et concurrentiel, constitutif de la valeur ajoutée.

Afin, aussi, d’inscrire la qualité des données dans le long terme : loin d’être un projet limité dans le temps, le sujet sera dorénavant au cœur de l’organisation, de la gouvernance, de la gestion et de la stratégie des assureurs.

42 Club Solvabilité 2 |Glossaire

GlossaireBig data, « données massives » ou « mégadonnées » : désigne la masse des données créées ces dernières années, difficiles à gérer par leur volume.

QDD : Qualité des données.

CDO : Chief Data Officer.

Data : données.

Data Management, ou gestion de données : discipline qui tend à valoriser les données internes ou externes de l’entreprise.

Data Mining : exploration des données, aussi appelée Extraction de connaissance à partir de données ou « ECD ».

Datawarehouse : entrepôt centralisé de données ou

MDM (Master Data Management) : logiciels qui gèrent les référentiels de façon automatique

Open data : données externes en accès libre.

Remédiation : résolution des difficultés rencontrées au cours de la mise en place du projet Qualité de data, souvent de façon itérative.

PwC 43

AnnexesExtraits des textes réglementaires de niveau 2 : Règlement délégué adopté par la Commission Européenne le 17 janvier 2015 (voir : http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32015R0035&from=FR).

Article 19 – Définition des critères de qualité.

« Les données utilisées dans le calcul des provisions techniques ne sont considérées comme

1. exhaustives (…) que lorsque les données incluent suffisamment d’informations historiques pour qu’il soit possible d’apprécier les caractéristiques des risques sous-jacents et de dégager des tendances d’évolution des risques et que des données sont disponibles pour chacun des groupes de risques homogènes utilisés dans le calcul des provisions techniques, aucune donnée pertinente n’étant exclue de ce calcul sans justification.

2. Exactes (…) que lorsqu’elles sont exemptes d’erreurs importantes, qu’elles sont cohérentes, même si provenant de périodes de temps différentes, et qu’elles sont enregistrées en temps utile et de manière cohérente dans la durée.

3. Appropriées (...) que lorsqu’elles sont adaptées aux fins pour lesquelles elles doivent être utilisées ; que leur volume et nature sont propres à garantir que les estimations formulées sur leur fondement pour le calcul des provisions techniques ne sont pas entachées d’une erreur d’estimation importante ; qu’elles sont cohérentes avec les hypothèses sous-tendant les techniques actuarielles et statistiques qui leur sont appliquées pour le calcul des provisions techniques ; reflètent adéquatement les risques auxquels l’entreprise d’assurance ou de réassurance est exposée au regard de ses engagements d’assurance ou de réassurance ; qu’elles ont été collectées, traitées et appliquées de manière transparente et structurée sur la base d’une procédure documentée correcte ».

Article 19 – Données externes

« L’utilisation de données provenant d’une source externe est possible à la condition d’être en mesure de démontrer que l’utilisation de ces données est plus adaptée que l’utilisation de données provenant exclusivement d’une source interne, de connaître l’origine de ces données ainsi que les hypothèses ou méthodes utilisées pour les traiter, d’identifier toutes tendances d’évolution des données externes ainsi que toutes variations, dans le temps ou entre données, des

hypothèses ou méthodes utilisées pour traiter ces données et que ces hypothèses et méthodes reflètent les caractéristiques de son portefeuille d’engagements d’assurance ou de réassurance ».

Article 20 - Limites des données

« Lorsque les données ne satisfont pas aux dispositions de l’article 19, les entreprises d’assurance et de réassurance documentent de manière appropriée les limites de ces données, y compris en indiquant si et comment il y sera remédié et en précisant quelles fonctions de leur système de gouvernance seront responsables de ce processus. Les données sont enregistrées et stockées de manière appropriée avant de faire l’objet d’ajustements destinés à remédier à leurs limites »


Article 219 - « Critères relatifs aux données

1. Les données utilisées pour le calcul des paramètres propres à l’entreprise ne sont considérées comme exhaustives, exactes et appropriées que si elles satisfont aux critères suivants : (a) les données répondent aux conditions énoncées à l’article 19, (...); (b) les données peuvent être intégrées aux méthodes standardisées ; (c) les données n’empêchent pas l’entreprise d’assurance ou de réassurance de se conformer aux exigences de l’article 101, paragraphe 3, de la directive 2009/13/CE ; (d) les données respectent toute autre exigence supplémentaire en matière de données nécessaire à l’utilisation de chaque méthode standard ; (e) les données et le processus de leur élaboration sont pleinement documentés, y compris en ce qui concerne : i) la collecte des données et l’analyse de leur qualité, la documentation requise comprenant un répertoire des données qui précise leur source, leurs caractéristiques et leur usage, et les caractéristiques de la collecte, du traitement et de l’application des données ; ii le choix des hypothèses utilisées pour élaborer et ajuster les données, y compris les ajustements en ce qui concerne les créances de réassurance et les sinistres catastrophiques ainsi que la répartition des dépenses, la documentation requise comprenant un répertoire de toutes les hypothèses sur lesquelles se fondent le calcul des provisions techniques et une justification du choix des hypothèses ; iii) le choix des méthodes actuarielles et statistiques aux fins de l’élaboration et de l’ajustement des données, et leur application ; iv) la validation des données.

2. Lorsque des données externes sont utilisées, elles satisfont aux critères supplémentaires suivants : (a) le processus de collecte des données est transparent et vérifiable par audit, et il est connu de l’entreprise d’assurance ou de réassurance qui fonde le calcul des paramètres propres à l’entreprise sur ces données ; (b) lorsque les données proviennent de différentes sources, les hypothèses sous-tendant la collecte, le traitement et l’application des données assurent que celles-ci sont comparables ; c) les données proviennent d’entreprises d’assurance ou de réassurance ayant une activité et un profil de risque similaires à ceux de l’entreprise d’assurance ou de réassurance dont les paramètres propres à l’entreprise sont calculés sur la base de ces données ; (d) les entreprises utilisant les données externes sont en mesure de s’assurer que des éléments statistiques suffisants montrent que les distributions de probabilité qui sous-tendent leurs propres données et celles des données externes ont un degré élevé de similitude, en particulier en ce qui concerne le niveau de volatilité qu’elles impliquent ; (e) les données externes ne comprennent que des données provenant d’entreprises présentant un profil de risque similaire, semblable également à celui de l’entreprise utilisant les données, en ce sens notamment que les données externes comprennent des données d’entreprises dont la nature de l’activité et le profil de risque, en ce qui concerne les données externes, sont similaires, et pour lesquelles il existe des éléments statistiques suffisants montrant que les distributions de probabilité sous-jacentes aux données externes présenteront un degré élevé d’homogénéité.

PwC 45

Article 244 « Contenu minimum de la documentation

La documentation du modèle interne contient l’ensemble des informations suivantes :

(a) une liste de tous les documents constitutifs de cette documentation ;

(b) la politique de modification du modèle interne visée à l’article 115 de la directive 2009/138/CE ; (c) une description des politiques, contrôles et procédures régissant la gestion du modèle interne, y compris les responsabilités attribuées à cet égard aux membres du personnel de l’entreprise d’assurance ou de réassurance ;

(d) une description de la technologie informatique utilisée dans le modèle interne, y compris de tout plan d’urgence lié à cette technologie informatique ;

(e) toutes les hypothèses pertinentes sur lesquelles le modèle interne est fondé et leur justification, conformément à l’article 230, paragraphe 2 ;

(f) l’explication, visée à l’article 230, paragraphe 2, point c), de la méthode selon laquelle ces hypothèses sont choisies, qui contient les informations suivantes : i) les données d’entrée sur lesquelles ce choix se fonde ; ii) les objectifs de ce choix et les critères utilisés pour établir son caractère approprié ; iii) toute limite que présente ce choix ;

(g) un répertoire des données utilisées dans le modèle interne, indiquant leur source, leurs caractéristiques et l’utilisation qui en est faite ;

(h) la spécification de la manière dont les données ont été collectées, traitées et appliquées, visée à l’article 231, paragraphe 3, point e) ;

(i) lorsque, dans le modèle interne, des données ne sont pas utilisées de manière cohérente dans la durée, une description des incohérences, assortie d’une justification ;

(j) la spécification des indicateurs qualitatifs et quantitatifs de la couverture des risques, visée à l’article 233 ;

(k) une description des techniques d’atténuation du risque prises en considération dans le modèle interne, visées à l’article 235, et une explication de la manière dont le modèle interne tient compte des risques découlant de l’utilisation de techniques d’atténuation du risque ;

(l) une description des futures décisions de gestion

prises en considération dans le modèle interne, visées à l’article 236, et une description des écarts significatifs visés à l’article 236, paragraphe 2 ;

(m) les spécifications afférentes à l’attribution des profits et des pertes, visées à l’article 240, paragraphe 1 ;

(n) les spécifications afférentes au processus de validation du modèle, visées à l’article 241, paragraphe 3 ;

(o) les résultats de la validation, en termes de respect de l’article 101 de la directive 2009/138/CE ;

(p) pour les modèles et données externes : i) le rôle joué par ces modèles et données externes dans le modèle interne ; ii) les raisons pour lesquelles des modèles externes sont préférés à des modèles développés en interne, et des données externes à des données internes ; iii) les alternatives à l’utilisation de modèles et données externes envisagées par l’entreprise d’assurance ou de réassurance et une explication de la décision de privilégier un modèle externe particulier ou un ensemble particulier de données externes ».


Article 265 - « Valorisation des provisions techniques - documentation

1. Les entreprises d’assurance et de réassurance constituent une documentation relative aux processus suivants : (a) la collecte et l’analyse qualitative de données et d’autres informations relatives au calcul des provisions techniques ; (b) le choix des hypothèses utilisées dans le calcul des provisions techniques et, en particulier, le choix d’hypothèses pertinentes concernant la répartition des dépenses ; (c) le choix et l’application de méthodes actuarielles et statistiques pour le calcul des provisions techniques ; (d) la validation des provisions techniques.

2. Aux fins du paragraphe 1, point a), la documentation inclut : (a) un répertoire des données utilisées dans le calcul des provisions techniques, indiquant leur source, leurs caractéristiques et l’usage qui en est fait ; (b) les spécifications relatives à la collecte, au traitement et à l’application des données, visées à l’article 19, paragraphe 3, point e) ; (c) lorsque des données ne sont pas utilisées de manière cohérente dans la durée, une description et une justification de ces utilisations différentes.

3. Aux fins du paragraphe 1, point b), la documentation inclut : (a) un répertoire de toutes les hypothèses pertinentes sur lesquelles se fonde le calcul des provisions techniques, notamment des hypothèses relatives aux futures décisions de gestion ; (b) une justification des hypothèses choisies, conforme au chapitre III, section 3, sous-section 1 ; (c) une description des données d’entrée sur lesquelles repose ce choix ; (d) les objectifs de ce choix et les critères utilisés pour établir son caractère approprié ; (e) toute limite importante inhérente à ce choix ; (f) une description des processus mis en place pour revoir ce choix ; (g) une justification des changements d’hypothèses d’une période sur l’autre et une estimation de l’impact des changements importants ; (h) les écarts significatifs visés à l’article 23, paragraphe 2 ».

Article 272 - « Fonction actuarielle

1. Dans le cadre de la coordination du calcul des provisions techniques, la fonction actuarielle s’acquitte de toutes les missions suivantes : (a) appliquer des méthodes et des procédures permettant de juger de la suffisance des provisions techniques et de garantir que leur calcul satisfait aux exigences énoncées aux articles 75 à 86 de la directive 2009/138/CE ; (b) évaluer l’incertitude liée aux estimations effectuées dans le cadre du calcul des provisions techniques ; (c) veiller à ce que toute limite inhérente aux données utilisées dans le calcul des provisions techniques soit dûment prise en considération ; (d) veiller à ce que, dans les cas visés à l’article 82 de la directive 2009/138/CE, les approximations les plus appropriées aux fins du calcul de la meilleure estimation soient utilisées ; (e) veiller à ce que les engagements d’assurance et de réassurance soient regroupés en groupes de risques homogènes en vue d’une évaluation appropriée des risques sous-jacents ; (f) tenir compte des informations pertinentes fournies par les marchés financiers ainsi que des données généralement disponibles sur les risques de souscription et veiller à ce qu’elles soient intégrées à l’évaluation des provisions techniques ; (g) comparer le calcul des provisions techniques d’une année sur l’autre et justifier toute différence importante ; (h) veiller à l’évaluation appropriée des options et garanties incluses dans les contrats d’assurance et de réassurance.

2. La fonction actuarielle vérifie, à la lumière des données disponibles, si les méthodes et hypothèses utilisées dans le calcul des provisions techniques sont adaptées aux différentes lignes d’activité de l’entreprise et au mode de gestion de l’activité.

3. La fonction actuarielle vérifie si les systèmes informatiques servant au calcul des provisions techniques permettent une prise en charge suffisante des procédures actuarielles et statistiques.

4. Lorsqu’elle compare les meilleures estimations aux données tirées de l’expérience, la fonction actuarielle évalue la qualité des meilleures estimations établies dans le passé et exploite les enseignements tirés de cette évaluation pour améliorer la qualité des calculs en cours. La comparaison des meilleures estimations avec les données tirées de l’expérience inclut une comparaison des valeurs observées avec les estimations entrant dans le calcul de la meilleure estimation, afin que des

PwC 47

conclusions puissent être tirées sur le caractère approprié, exact et complet des données et hypothèses utilisées ainsi que sur les méthodes employées pour les calculer.

5. Les informations soumises à l’organe d’administration, de gestion ou de contrôle concernant le calcul des provisions techniques incluent, au minimum, une analyse raisonnée de la fiabilité et de l’adéquation de ce calcul, ainsi que des sources dont est tirée l’estimation des provisions techniques et du degré d’incertitude lié à cette estimation. Cette analyse raisonnée est étayée par une analyse de sensibilité incluant une étude de la sensibilité des provisions techniques à chacun des grands risques sous-tendant les engagements couverts par les provisions techniques. La fonction actuarielle indique et explique clairement toute préoccupation qu’elle peut avoir concernant l’adéquation des provisions techniques.

6. En ce qui concerne la politique de souscription, l’avis que doit émettre la fonction actuarielle conformément à l’article 48, paragraphe 1, point g), de la directive 2009/138/CE contient, au minimum, des conclusions sur les aspects suivants : (a) la suffisance des primes à acquérir pour couvrir les sinistres et dépenses à venir, compte tenu notamment des risques sous-jacents (y compris les risques de souscription), et l’impact des options et garanties prévues dans les contrats d’assurance et de réassurance sur la suffisance des primes ; (b) l’effet de l’inflation, du risque juridique, de l’évolution de la composition du portefeuille de l’entreprise et des systèmes ajustant à la hausse ou à la baisse les primes dues par les preneurs en fonction de leur historique de sinistres (systèmes de bonus-malus) ou de systèmes similaires, mis en œuvre au sein des différents groupes de risques homogènes ; (c) la tendance progressive d’un portefeuille de contrats d’assurance à attirer ou à retenir des assurés présentant un profil de risque comparativement plus élevé (antisélection).

7. En ce qui concerne les dispositions globales en matière de réassurance, l’avis que doit émettre la fonction actuarielle conformément à l’article 48, paragraphe 1, point h), de la directive 2009/138/CE contient une analyse du caractère adéquat : (a) du profil de risque et de la politique de souscription de l’entreprise ; (b) de ses réassureurs, compte tenu de leur qualité de crédit ; (c) de la couverture qu’elle peut attendre dans le cadre de scénarios de crise, par rapport à sa politique de souscription ; (d) du calcul des montants recouvrables au titre des contrats de réassurance et des véhicules de titrisation.

8. La fonction actuarielle établit au moins une fois par an un rapport écrit qu’elle soumet à l’organe d’administration, de gestion ou de contrôle. Ce rapport rend compte de tous les travaux conduits par la fonction actuarielle et de leur résultat, il indique clairement toute défaillance et il émet des recommandations sur la manière d’y remédier ».

48 Club Solvabilité 2 | À propos de PwC

À propos de PwC

Qu’est-ce que le Club Solvabilité 2 ?

Le Club Solvabilité 2 est l’occasion de partage avec plus de 150 acteurs de l’assurance sur l’actualité réglementaire et ses implications opérationnelles.

Venez nous rejoindre en contactant Élodie Coquerel ([email protected])

En savoir plus sur l’équipe Solvabilité 2 de PwC ?

Près de 120 personnes, dédiées à Solvabilité 2, vous accompagnent sur la mise en place de l’ensemble des trois piliers.

Les informations contenues dans cette publication ne peuvent en aucun cas être assimilées à des prestations de services ou de conseil rendues par leurs auteurs ou éditeurs. Aussi, elles ne peuvent être utilisées comme un substitut à une consultation rendue par une personne professionnellement compétente. Cette publication est la propriété de PwC. Toute reproduction et /ou diffusion, en tout ou partie, par quelque moyen que ce soit est interdite sans autorisation préalable.© 2015 PricewaterhouseCoopers France. Tous droits réservés.

Contacts

Éric DupontAssocié responsable du secteur assurance01 56 57 80 [email protected]

Jimmy ZouAssocié Risques et Réglementation01 56 57 72 [email protected]

Arnaud FritzAssocié Data Management et Sécurité01 56 57 18 [email protected]

Karine ParienteDirecteur Experte Qualité des données et Systèmes d’information01 56 57 70 [email protected]

Germain HervéSenior Manager Expert Risques et Qualité des données01 56 57 83 [email protected]

Stéphane BocquillonSenior Manager Expert Data Management01 56 57 50 [email protected]

Les 10 clefs de la qualité des données - pwc.fr · La qualité des données est loin d’être un...

Documents

Transcript of Les 10 clefs de la qualité des données - pwc.fr · La qualité des données est loin d’être un...