Dans l’assurance, le contrôle des risques est repensé

le 31/01/2013 L'AGEFI Hebdo

L’Autorité de contrôle prudentiel accroît son rôle dans le cadre d’un renforcement des obligations réglementaires et du changement de taille des acteurs.

Depuis l’adoption, fin 2010, de la directive Solvabilité 2 qui vise à réformer la réglementation prudentielle s'appliquant au secteur de l'assurance en Europe, les assureurs français sont de plus en plus exposés aux contrôles de l’Autorité de contrôle prudentiel (ACP). « Et si ces contrôles s'intensifient et prennent une nouvelle dimension, ce n'est pas uniquement à cause du renforcement de la réglementation applicable sur les systèmes d'information, précise Grégoire Vuarlot, directeur adjoint des contrôles spécialisés transversaux de l'ACP. C’est aussi parce que les mouvements de concentration dans cette industrie font que la taille des organismes s'accroît, avec des systèmes d'information qui se complexifient et des volumes exponentiels de données électroniques à gérer. »

Gouvernance

Dans ce contexte, l'un des principaux enjeux des contrôles prudentiels porte sur la gouvernance et les contrôles internes mis en place afin de maîtriser cette complexité croissante. « Aujourd'hui, dans les grandes sociétés d'assurances, vous avez beaucoup de mal à trouver un interlocuteur qui maîtrise la totalité du système d'information, souligne Grégoire Vuarlot. Or c’est le bon fonctionnement de l’ensemble de la chaîne qui garantit sa qualité et sa performance. Nous contrôlons donc les systèmes d'information des assureurs afin de vérifier que la gouvernance mise en place couvre les composantes par métiers, par entités géographiques, par générations de produits… et que toutes ces briques communiquent bien entre elles. »

Le superviseur porte également une attention particulière à la mesure des risques liés aux systèmes d'information. Aujourd'hui, les organismes d’assurances doivent être capables de les mesurer, de quantifier leur exposition, de pouvoir communiquer sur la nature de leur profil de risque... « Ils pourront aussi à l’avenir utiliser des modèles internes afin de calculer leurs besoins en capital par rapport à leur exposition au risque, complète Grégoire Vuarlot. Cette information étant essentielle dans leurs relations avec le superviseur et le marché. »

Pour répondre à ces nouvelles exigences, les sociétés d'assurances doivent s'appuyer sur des données de plus en plus nombreuses et complexes, comme l’explique Grégoire Vuarlot : « Tout cela est très consommateur de données, et si vous ne voulez pas établir des jugements stratégiques ou des mesures de risques inappropriés, il faut qu’elles soient fiables, pertinentes et qu’elles puissent être auditées. » Non contents de s'assurer de la qualité des données, les contrôleurs de l’ACP s'intéressent aussi à leur sécurité et, d’une manière plus générale, à la résistance des systèmes d’information. « Aujourd'hui, les systèmes d'information sont ouverts sur le monde et doivent pouvoir résister à toutes les attaques, indique Grégoire Vuarlot. Et si l'on considère la sophistication toujours croissante des techniques de délinquance sur internet, mieux vaut investir dans une politique globale de résistance, avec une remise en question permanente. »

Impossible également pour les contrôleurs de l’ACP de ne pas tenir compte du développement du cloud computing, de l'usage des terminaux personnels dans l'entreprise, de la prévention des chocs extrêmes, des plans de continuité d'activité qui vont devenir obligatoires pour les assureurs, toujours sous l'impulsion de Solvabilité 2... « Les sociétés d'assurances planchent également naturellement sur le management et l'assurance des risques liés aux systèmes d'information, à la fois pour prévenir ces risques, mais aussi pour les assurer correctement », ajoute Wilfrid Ghidalia, secrétaire général du Forum des Compétences, une association de réflexion qui regroupe des représentants de banques et sociétés d'assurances concernés par la gestion des risques liés au système d'information.

Pour Grégoire Vuarlot, les sociétés d’assurances ont bien pris conscience de ces nouveaux enjeux, avec toutefois des degrés de maturité et de préparation différents. « Si les travaux ont bien avancé en matière de diffusion de la culture de risque des systèmes d'information, il reste encore du chemin à parcourir pour tout ce qui touche à leur intégration globale à la gestion des risques des entreprises. » Un constat qui n’étonne pas Wilfrid Ghidalia : « Il ne faut pas oublier que les sociétés d'assurances ne se sont mises en ordre de bataille qu'il y a deux ans pour satisfaire à ces nouvelles exigences. Il faut leur laisser un peu de temps pour arriver au même niveau de maturité que les banques.

A lire aussi