N° 119 : Synthèse de l’enquête déclarative de 2019 sur la gestion des données alimentant les calculs prudentiels des organismes d’assurance

Le questionnaire en ligne, ouvert du 16 septembre au 8 novembre, a permis de recueillir les réponses de 193 organismes représentant 84 % du chiffre d’affaires du marché de l’assurance et de la réassurance en France.

Cette autoévaluation fait suite à celles de 2015 et 2017 qui portaient, pour la première sur la qualité des données (QDD), le système d’information (SI) et sa sécurité (SSI) et, pour la seconde, uniquement sur le volet SI/SSI. L’occurrence 2019 reprend de manière plus approfondie les thématiques de qualité des données et de sécurité des SI.

Ce document présente les principaux enseignements concernant la gestion par les assureurs français des données alimentant en particulier leurs calculs prudentiels, établis sur la base de leurs déclarations.

Tout d’abord, concernant la gouvernance, la politique traitant de la gestion des données alimentant les calculs prudentiels et de l’évaluation de leur qualité (nommée politique de qualité des données ou politique QDD dans la suite), quand elle existe, n’est pas encore déployée dans son intégralité dans les organismes. À minima, les organismes auraient mis en place des indicateurs objectivant la qualité des données, qui, actualisés à fréquence régulière, alimenteraient des tableaux de bord partagés avec les acteurs de l’entreprise directement intéressés à la qualité des données car impliqués dans les processus calculatoires des agrégats prudentiels (provisions techniques, bilan, capital de solvabilité requis…) : direction de l’actuariat, direction des risques et direction financière le plus souvent. Si les comités dédiés au pilotage de la qualité des données semblent s’être démocratisés au sein de près de 70 % des organismes, le sujet de la qualité des données est encore peu évoqué dans les comités des risques et dans les comités exécutifs. Pour constituer et formaliser la piste d’audit de leurs données, les organismes auraient principalement recours à deux outils : d’une part, la cartographie des flux de données et d’autre part, le répertoire des données. La criticité des données qui doit y être indiquée s’appuie principalement sur une identification à dire d’expert plutôt que par une mesure de sensibilité des résultats des calculs à leur variation.

Par ailleurs, une majorité d’organismes ne recense pas les contrôles de 1er niveau (opérationnels) de manière exhaustive et les seuils d’acceptabilité associés à ces contrôles sont peu souvent précisément définis.

L’intégration des données externes dans le système d’information des organismes est encore en partie manuelle et leur granularité est souvent inférieure à celle des données internes, alors même que ces données externes de gestion représentent en moyenne 10 % du volume de données utilisées notamment pour le calcul des provisions techniques.

Si le risque de défaut de qualité des données est non seulement appréhendé par les organismes mais également pris en compte dans la cartographie des risques opérationnels, le risque résiduel de défaut reste toutefois élevé pour certains organismes. Pour autant, la 2^e ligne de défense ne revoit pas régulièrement le dispositif de contrôle QDD et la 3^e ligne de défense n’effectue que très peu d’audits chez les sous-traitants/délégataires de gestion.

Enfin, les résultats mettent en avant une différence de maturité sur la gestion de la qualité des données entre les types ayant répondu. L’attribution d’un score aux réponses individuelles permet de mesurer et visualiser la maturité moyenne du marché sur les différentes thématiques QDD abordées dans l’enquête.