Cadre de gestion proposé du risque opérationnel lié aux activités de tarification et de souscription de l’assurance automobile

Information 

N^o AU0137INF

Télécharger un exemplaire en format PDF

Objet

La présente ligne directrice a pour objet de présenter les pratiques fondamentales de la saine gestion du risque opérationnel (GRO) lors de la tarification et de la souscription de l’assurance automobile.

Son application permettra de promouvoir une tarification juste, raisonnable et exacte pour les consommateurs. Elle favorisera également un traitement équitable au profit des consommateurs lors du processus de souscription.

Le degré de mise en œuvre/d’adoption de la présente ligne directrice doit être proportionnel à la nature (notamment le modèle d’affaires), à la taille, à la complexité et au profil de risque de l’assureur.

Portée

La présente ligne directrice concerne les compagnies d’assurance qui souscrivent de l’assurance automobile en Ontario.²

Justification et contexte

À l’issue de consultations ciblées menées auprès des assureurs automobiles et après analyse des renseignements recueillis dans le cadre de l’examen des dépôts de taux, l’ARSF a relevé des écarts dans les pratiques de gestion du risque opérationnel et de gouvernance de la modélisation au sein de l’industrie.

Voici des exemples :

• Absence des trois lignes de défense, manque de contrôle et de gouvernance pendant le cycle de vie du modèle (p. ex., absence d’une deuxième ligne indépendante aux fins de l’examen du modèle ou d’une fonction d’approbation du modèle), ce qui peut mener à des erreurs dans la tarification des consommateurs
• Absence de processus permettant de comprendre l’incidence de l’utilisation des modèles sur les consommateurs individuels, notamment les modèles d’apprentissage automatique, ce qui peut donner lieu à une discrimination malhonnête, en contravention du Règlement 7/00, Actes ou pratiques malhonnêtes ou mensongers (« Règlement sur les APMM »)
• Absence d’un processus de gestion du risque opérationnel permettant de repérer, d’atténuer et de signaler les erreurs de tarification et (ou) de souscription³​, ce qui peut mener à des erreurs non détectées et à des primes erronées pour les consommateurs

À l’issue d’un survol provincial de la réglementation et d’une consultation menée auprès des intervenants, l’ARSF a défini des pratiques de saine gestion du risque opérationnel⁴ pour remédier à ces écarts.

Le fait de définir et de promouvoir des pratiques de saine gestion du risque opérationnel est conforme aux objets de l’ARSF prévus en vertu de la loi,⁵ notamment :

• contribuer à la confiance du public dans les secteurs réglementés;
• surveiller et évaluer les progrès et les tendances dans les secteurs réglementés;
• promouvoir des normes de conduite professionnelle élevées;
• protéger les droits et intérêts des consommateurs;
• favoriser le développement de secteurs des services financiers solides, durables, concurrentiels et novateurs.

Conformité renforcée

Selon l’ARSF, l’adoption du cadre de GRO aidera les assureurs à respecter les exigences de la Loi sur les assurances et de la Loi sur la stabilisation des taux d’assurance automobile, notamment en évitant toute contravention à l’article 439 de la Loi sur les assurances dans la mesure où celui-ci se rattache aux paragraphes (3) et (11) de l’article 1 et au paragraphe (5) de l’article 2(1) du Règlement sur les APMM.⁶

Principes

L’approche suivie par l’ARSF pour réglementer les tarifs de l’assurance automobile repose sur ses Principes de réglementation des taux. Ces principes ont joué un rôle central dans l’élaboration de la présente ligne directrice. En adoptant une approche fondée sur des principes et orientée vers les résultats pour gérer le risque opérationnel en matière de tarification et de souscription, l’ARSF a suivi l’ensemble des six principes, mais plus particulièrement celui de l’intérêt des consommateurs. 

Cadre de gestion du risque opérationnel

Définition du risque opérationnel et autres termes

Le risque opérationnel se définit comme étant le risque d’encourir des pertes découlant de lacunes ou de défauts attribuables aux ressources humaines et matérielles, telles que des procédures et des systèmes internes, ou résultant d’événements déclencheurs. Pour l’ARSF, une mauvaise gestion du risque opérationnel, notamment du risque de modélisation, pourrait se solder par des résultats négatifs pour les consommateurs et par des infractions de la loi. Afin d’y remédier, il faut mettre en place des contrôles et des mécanismes de gouvernance qui permettent de cerner et de limiter le risque, plutôt que gérer chaque activité de façon détaillée. Selon l’ARSF, les activités de tarification et de souscription présentent un risque opérationnel qui peut être géré de la même façon.

C’est pourquoi, aux fins de la présente ligne directrice :

• Le terme GRO désigne la gestion du risque opérationnel associé aux activités de tarification et de souscription de l’assurance automobile.
• L’expression « cadre de GRO » fait référence aux politiques, aux procédures et à tout document connexe expliquant la façon dont l’assureur gère le risque opérationnel dans ses activités de tarification et de souscription de l’assurance automobile.
• L’expression « haute direction » désigne la haute direction de l’assureur, notamment le directeur général, le directeur financier, le directeur général de la gestion des risques, le chef de la conformité, les dirigeants responsables de la tarification et de la souscription et tout autre employé reconnu officiellement par le conseil d’administration de l’assureur.

Le cycle de gestion du risque opérationnel

En général, la gestion du risque opérationnel dans le cadre des processus d’un assureur respecte un cycle constant, ici appelé « cycle de GRO ». La présente section porte sur le cycle de GRO et les étapes à respecter, selon l’ARSF, pour gérer le risque opérationnel dans les activités de tarification/souscription, et notamment, certaines considérations à prendre en compte.

1. Établissement du risque : Le cadre de GRO de l’assureur doit indiquer la façon dont le risque opérationnel sera établi en temps opportun. Les outils utilisés pour établir ce risque seront choisis en fonction de divers facteurs, en particulier la nature (notamment le modèle d’affaires), la taille, la complexité et le profil de risque de l’assureur. Des exemples d’outils sont des sondages, des ateliers, des registres ou des questionnaires.
2. Évaluation du risque : Le cadre de GRO doit indiquer la façon dont l’assureur évaluera de façon systématique l’importance relative du risque établi. L’assureur doit pouvoir définir le risque inhérent et le risque résiduel. Le risque inhérent est le niveau de risque avant la prise en compte des contrôles ou des mesures d’intervention déjà en place. Le risque résiduel est le niveau de risque après la prise en compte des contrôles ou des mesures d’intervention déjà en place.
3. Priorisation et atténuation du risque : Selon le niveau de risque qui ressortira de l’évaluation, l’assureur peut classer tout nouveau risque par rapport aux risques préexistants afin d’établir les priorités et ainsi déterminer la manière dont le risque devra être géré (p. ex., accepter, réduire, partager, éviter). Le cadre de GRO doit énoncer les processus et les contrôles permettant d’établir les priorités et de gérer les risques.
4. Surveillance du risque et reddition de compte : Le cadre de GRO doit indiquer la façon dont l’assureur entend surveiller les risques, informer les intervenants des niveaux de risque et gérer les risques qui ne sont pas à des niveaux acceptables. Quand un risque n’est pas à un niveau acceptable, le cadre de GRO doit indiquer comment l’assureur entend mettre en œuvre des plans d’action pour ramener ce risque dans la fourchette acceptable, notamment en les transférant, si nécessaire, à la haute direction et au conseil d’administration.

Le cycle de GRO doit être appliqué de façon continue pour les processus existants et de façon ponctuelle pour les nouveaux produits ou projets, ou les changements envisagés concernant des produits ou processus existants. L’assureur doit aussi régulièrement passer en revue tous les domaines associés à un risque élevé (même si le risque a été atténué de façon satisfaisante à un niveau acceptable) pour bien comprendre l’ensemble des risques importants.

Pratiques fondamentales de la gestion du risque opérationnel

Selon l’ARSF, pour que le cycle de GRO puisse bien gérer le risque associé à la tarification et à la souscription, le cadre de GRO doit, au minimum, prévoir les pratiques fondamentales suivantes :

1. Définir la propension à prendre des risques opérationnels dans le cadre des activités de tarification et de souscription de l’assurance automobile
2. Définir clairement les rôles et responsabilités à l’aide de solides mécanismes de responsabilisation
3. Mettre en place des mécanismes de gouvernance des données
4. Appliquer en continu le cadre de GRO

Chacune de ces pratiques fondamentales est expliquée ci-dessous.

1) Définir la propension à prendre des risques opérationnels dans le cadre des activités de tarification et de souscription de l’assurance automobile

Pour garantir une gestion uniforme et durable des risques opérationnels dans toute l’entreprise, l’assureur doit rédiger une déclaration concernant sa propension à prendre des risques opérationnels dans le cadre de ses activités de tarification et de souscription de l’assurance automobile. Il peut s’agir d’une déclaration ou d’une série de déclarations qui décrivent l’attitude de l’entreprise face à la prise de risque. Plus précisément, cette déclaration doit décrire la nature et les types de risques opérationnels que l’assureur est prêt à prendre, ou censé prendre, pour atteindre ses objectifs d’exploitation.

La déclaration de la propension à prendre des risques doit être brève et claire, et comporter un élément mesurable (limites ou seuils). L’élément mesurable a pour but d’indiquer le niveau de risque opérationnel considéré comme acceptable au sein de l’entreprise. Les limites ou les seuils peuvent aussi servir à indiquer le niveau à partir duquel les incidents opérationnels, les quasi-préjudices ou les tendances cumulées entraînent un signalement à la haute direction (des seuils de signalement distincts peuvent être établis dans certains cas).

Au moment de formuler sa déclaration de la propension à prendre des risques à l’égard des risques opérationnels, l’assureur peut prendre en considération des éléments tels que : l’évolution de l’environnement externe, les variations importantes du chiffre d’affaires ou du volume d’activités, la qualité de l’environnement de contrôle, l’efficacité des stratégies de gestion ou d’atténuation des risques, l’historique des incidents opérationnels enregistrés par l’assureur, et la fréquence, le nombre ou la nature des cas de violation de la limite ou du seuil prévus dans la déclaration.

Quand le profil de risque opérationnel de l’assureur est moindre, la propension à prendre des risques peut être démontrée par le recours aux seuils de déclaration/signalement aux échelons supérieurs des événements importants liés au risque opérationnel.

2) Définir clairement les rôles et responsabilités ainsi que les mécanismes de responsabilisation

Pour qu’un cadre de GRO soit efficace, il est essentiel de documenter et de définir clairement tous les intervenants et leurs responsabilités respectives, et d’instaurer des mécanismes adéquats de responsabilisation. Pour cela, il faut mettre en place une structure de gouvernance appropriée et le modèle des « trois lignes de défense », comme expliqué ci-dessous.

Structure de gouvernance

Pour instaurer une solide culture de la gestion du risque à l’échelle de l’entreprise, le conseil d’administration et la haute direction doivent jouer un rôle actif. En tant qu’ultime responsable des activités d’un assureur, le conseil d’administration doit rendre des comptes relativement au cadre de GRO. Cet intervenant doit notamment veiller à bien comprendre les risques opérationnels de l’assureur. Il doit s’assurer que le cadre de GRO fonctionne comme prévu, en vérifiant notamment qu’il existe de véritables fonctions indépendantes de gestion du risque. La haute direction devra mettre en place et tenir à jour les politiques et processus qui rendent opérationnel le cadre de GRO, en intégrant les mécanismes de responsabilisation qui conviennent, tels que le modèle des trois lignes de défense présenté ci-dessous, dans toute l’entreprise. Les problèmes doivent être transférés au conseil d’administration et à la haute direction lorsque c’est nécessaire.

Trois lignes de défense

Une responsabilisation adéquate à l’égard de la gestion du risque opérationnel est essentielle. Un moyen de parvenir à une telle responsabilisation est d’instaurer une structure reposant sur trois lignes de défense. À titre d’exemple, les rôles et responsabilités de chaque ligne de défense sont décrits ci-dessous. Pour déterminer ce qui constitue une structure adéquatement fiable, l’assureur tiendra compte de facteurs tels que la taille, la structure du capital social, la complexité des activités, la stratégie organisationnelle et le profil de risque.

Première ligne de défense

Le secteur d’activité, qui forme la première ligne de défense, est responsable du risque, ce qui lui permet de détecter et de gérer le risque opérationnel inhérent et résiduel dans le cadre de ses activités. La première ligne de défense est chargée de suivre le cycle de vie de GRO conformément au cadre de GRO, notamment en respectant sa propension aux risques, ses politiques/processus, ses exigences de production de rapports, ses mécanismes de surveillance, etc. La première ligne de défense peut créer un processus de conformité ou d’assurance de la qualité pour mieux assumer ses responsabilités quant au risque.

Deuxième ligne de défense

La deuxième ligne de défense est une fonction indépendante qui doit remettre en cause et surveiller les activités de la première ligne. Son rôle est de veiller à ce que le risque opérationnel soit géré comme il convient et conformément à la propension aux risques de l’assureur. L’examen effectué par la deuxième ligne de défense portera, au minimum, sur les éléments suivants :

• Reproductibilité : La deuxième ligne de défense doit comprendre les processus et les procédures de la première ligne. Elle doit suivre de façon indépendante le processus décisionnel de la première ligne. Cela implique nécessairement que la première ligne tienne une documentation à jour, précise et complète que la deuxième ligne pourra examiner.
• Validité : La deuxième ligne de défense doit effectuer un examen indépendant et objectif de la viabilité conceptuelle de la gestion du risque opérationnel assurée par la première ligne. Si la deuxième ligne estime que cette gestion est inadéquate ou incomplète, elle doit fournir une rétroaction sur la manière de donner suite aux conclusions de son examen.

Troisième ligne de défense

La troisième ligne de défense est gérée par la fonction de vérification interne. Elle donne l’assurance, en toute indépendance, au conseil d’administration et à la haute direction que le cadre de GRO de l’assureur est efficace dans le cadre de ses activités de tarification et de souscription. La troisième ligne de défense doit être séparée et indépendante des première et deuxième lignes de défense. Elle doit examiner et tester, de façon objective, les contrôles, les processus et les systèmes de GRO ainsi que l’efficacité des fonctions des première et deuxième lignes de défense. La troisième ligne de défense est la mieux placée pour observer et examiner la GRO de façon plus générale dans le contexte des fonctions globales de gouvernance opérationnelle et de gestion du risque mises en place par l’assureur. Le champ d’application des vérifications et examens objectifs doit être assez large pour permettre de vérifier si le cadre de GRO a été mis en œuvre comme prévu et fonctionne efficacement.

3) Gouvernance des données

L’efficacité de la prise de décision dépend de la qualité des données. Le cadre de GRO doit indiquer la façon dont l’assureur applique ses pratiques de gouvernance des données à la GRO, en veillant à ce que les données utilisées soient appropriées, exactes, complètes et opportunes. Les éléments à inclure sont les suivants :

• Évaluation de la qualité des données : L’assureur doit établir les caractéristiques que les données doivent posséder pour produire des estimations crédibles. Selon ses critères, l’assureur doit ensuite vérifier que les données sont adaptées à leur utilisation. La qualité des données sera régulièrement surveillée afin de garantir qu’elles conviennent à leur utilisation.
• Établissement des possibilités/problèmes liés aux données : Les problèmes seront rapidement repérés et réglés, de même que les améliorations qui pourraient être apportées aux processus liés aux données, dans le but d’accroître la qualité des données existantes et futures.
• Détermination des limites des données : L’assureur doit établir toutes les limites connues des données et comprendre pourquoi, malgré ces limites, les données conviennent à leur utilisation et étudier les considérations particulières liées à la surveillance de ces données, etc.
• Responsabilité à l’égard des données : En plus des caractéristiques relatives aux données, il est essentiel que chaque source de données ait un responsable désigné aux fins de la responsabilisation à l’égard de la qualité des données.

4) Tenue à jour du cadre de GRO

La tenue à jour du cadre de GRO est importante non seulement à des fins de vérifiabilité, mais également à des fins de continuité d’exploitation, c’est-à-dire la capacité pour l’assureur à exercer durablement ses activités. Les fonctions d’examen jouent un rôle essentiel dans l’établissement des améliorations possibles du cadre de GRO.

Parmi les pratiques de saine gestion observées par l’ARSF :

• Formation : Pour pouvoir mettre en œuvre et tenir à jour un cadre de GRO, le personnel doit bien comprendre ses rôles et responsabilités. L’assureur doit indiquer dans son cadre de GRO les politiques/processus employés pour garantir la formation adéquate de son personnel de façon continue. Le cadre de GRO indiquera également comment l’assureur procède pour évaluer le caractère adéquat de ses processus de formation.
• Documentation : L’assureur doit veiller à tenir une documentation actuelle, exacte et complète du cadre tout entier de GRO. Citons à titre d’exemple des éléments tels que le registre des risques, les déclarations sur la propension aux risques, les politiques de gestion du risque de modélisation, les documents sur la modélisation, les principales décisions, les documents sur les processus, les interactions entre les lignes de défense, l’utilisation des principaux indicateurs de risque, etc. L’assureur doit également veiller à tenir un registre de la matérialisation des risques opérationnels ou des quasi-préjudices ainsi que tout exercice utilisé pour tirer un enseignement de ces événements, tel qu’une analyse des causes fondamentales. De même, l’assureur devra documenter tout renseignement lié à la création et à la tenue à jour du cadre de GRO ainsi qu’à la prise de décision effectuée tout au long du cycle de vie de la GRO.
• Examens périodiques : L’évolution des activités, du marché ou d’autres conditions peuvent rendre inadéquats certaines politiques ou certains processus, entre autres éléments. Il faudra alors procéder à une révision. Le cadre de GRO doit indiquer la façon dont l’assureur surveillera le caractère approprié de tous les éléments du cadre et, s’il estime que c’est nécessaire, la façon dont il adaptera ces éléments. Cela comprend, sans s’y limiter, la formation, la documentation, la déclaration relative à la propension aux risques et les structures de gouvernance.

Gestion du risque de modélisation

Du fait de leur nature hautement quantitative⁷, les modèles peuvent être gérés de façon plus précise que les modèles classiques de gestion du risque opérationnel, tout en amenant des risques supplémentaires en raison de leur complexité. Ces risques sont particulièrement marqués dans les techniques d’analyse avancées qui sont utilisées aux fins de la tarification et de la souscription, comme l’apprentissage machine et l’intelligence artificielle. Ces techniques présentent aussi des risques sur le plan de l’interprétabilité et de l’explicabilité. L’annexe 1 indique comment les pratiques de GRO peuvent être appliquées à la gestion du risque de modélisation.

Pertinence par rapport aux autres obligations

Voici d’autres domaines auxquels les pratiques de GRO peuvent s’appliquer, de façon non exhaustive :

• Produits et services tiers : Les assureurs peuvent décider d’exploiter des données de tiers, d’utiliser des outils créés par des parties externes ou d’engager une tierce partie pour mettre entièrement au point des produits qu’eux seuls utiliseront. Le fait de collaborer avec des parties tierces présente des risques supplémentaires. Les assureurs doivent prendre des mesures raisonnables pour surveiller l’utilisation des données ou des services de tiers. Les assureurs conserveront leurs obligations sur le plan réglementaire. Ce sont eux, et non pas les fournisseurs, qui assument la responsabilité ultime des résultats pour les consommateurs.
• Protection des renseignements personnels : Les assureurs ont diverses obligations sur le plan de la confidentialité et du respect de la vie privée, p. ex., la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral et la proposition de Loi sur la protection de la vie privée des consommateurs dans le cadre du projet de loi C-11. Des pratiques comme la structure des trois lignes de défense peuvent aider les assureurs à respecter ces obligations.

Date d’entrée en vigueur et examen futur

La présente ligne directrice est entrée en vigueur le [Date] et fera l’objet d’un examen au plus tard le [Date dans trois ans].

À propos de cette ligne directrice

Le présent document est conforme au Cadre de lignes directrices de l’ARSF. Cette ligne directrice en matière d’information décrit le point de vue de l’ARSF sur certains sujets sans créer d’obligations de conformité pour les personnes réglementées.

Annexe 1 : Gestion du risque de modélisation

La présente annexe énonce les pratiques fondamentales de saine gestion des modèles utilisés dans les processus suivants :

• Établissement des taux : Tout modèle utilisé dans le processus d’estimation des coûts futurs associés au transfert du risque d’assurance ou autre mécanisme de transfert du risque.⁸ Cela inclut l’estimation des coûts futurs en totalité et selon les niveaux sous-jacents qui composent cette estimation.
• Système de classement des risques : Tout modèle utilisé pour attribuer des risques à des groupes en fonction du coût attendu ou de l’avantage prévu associé à la couverture ou aux services fournis.
• Souscription : Tout modèle utilisé pour déterminer si un risque devrait être enregistré, réitéré ou annulé.

Application du cycle de GRO à la gestion du risque de modélisation

L’ARSF a observé la façon dont les pratiques de GRO, étant fondées sur des principes, peuvent être appliquées de façon efficace à la gestion du risque de modélisation (GRM). En créant et en tenant à jour un cadre efficace de GRO à l’interne, notamment à l’aide de contrôles tels que les trois lignes de défense, les assureurs risquent moins de créer des modèles injustes et inéquitables.

L’ARSF reconnaît que les assureurs peuvent déjà avoir mis en place des cadres de gestion du risque de modélisation de façon autonome. Les présentes pratiques devraient être adoptées conformément à un principe de proportionnalité, selon l’importance relative des modèles ainsi que la taille et la complexité des activités de l’assureur.

Établissement du risque

Le cadre de GRO de l’assureur doit régir la création de tout modèle. L’assureur devrait tenir un registre des modèles permettant d’avoir une vue globale de tous les modèles utilisés.

Évaluation du risque

Pour chaque modèle établi, l’assureur devrait évaluer les processus/contrôles opérationnels qui servent à gérer le risque de modélisation. Ainsi, l’assureur sera en mesure de définir le risque opérationnel inhérent à ses activités de modélisation et la qualité de la gestion du risque mise en œuvre, ce qui lui permettra d’évaluer le risque opérationnel résiduel.

En mettant en place de solides processus/contrôles, l’assureur peut atténuer les risques suivants qui accompagnent le processus de modélisation :

• Données d’entrée : Les problèmes concernant les données, tels que l’inexactitude, le caractère inadéquat, l’insuffisance, le manque d’exhaustivité et la mauvaise utilisation et (ou) la non-compréhension des données.
• Traitement/calcul : Les problèmes dans l’élaboration du modèle tels que des hypothèses et (ou) des jugements erronés, des spécifications inappropriées, des erreurs de codage ou de calcul, des modèles instables, etc.
• Données de sortie : Les problèmes de mise en œuvre et de surveillance du modèle tels qu’une utilisation inappropriée, déplacée ou anormale du modèle, une mise en œuvre fautive (p. ex., des erreurs de tarification), une mauvaise interprétation des résultats du modèle ou des contrôles et (ou) mécanismes de surveillance inadéquats.

En s’assurant de la pertinence et de la bonne application des contrôles, l’assureur peut alors décider de la manière de gérer un risque établi.

Priorisation et atténuation du risque

Un assureur peut décider de la manière de gérer un risque selon le niveau de risque qui ressort de l’évaluation. Si ce processus diffère selon les modèles, le cadre de GRO doit expressément aborder cette question.

Surveillance et signalement des risques

Les processus de surveillance et de signalement des risques⁹ permettent à l’assureur de déterminer si le risque opérationnel associé à un modèle demeure dans une fourchette acceptable et s’il est nécessaire de transmettre un problème à l’échelon supérieur, p. ex., à la haute direction ou au conseil d’administration.

Pratiques fondamentales de la gestion du risque de modélisation

L’ARSF s’attend à ce que la gestion du risque de modélisation comporte au moins ce qui suit :

1. une définition claire de l’importance relative du modèle;
2. l’application des trois lignes de défense tout au long du cycle de vie du modèle;
3. une fonction d’approbation du modèle;
4. un processus permettant d’évaluer le caractère équitable du modèle.

1) Une définition claire de l’importance relative du modèle

Le cadre de GRO de l’assureur doit prévoir un processus pour évaluer et classer l’importance relative des modèles, p. ex. complexité du modèle et incidence financière, ainsi qu’une structure de gouvernance adaptée à l’importance relative du modèle. Les mesures tant quantitatives que qualitatives doivent être prises en compte, dans la mesure du possible.

Le degré de gouvernance/contrôle en place à chaque étape du cycle de vie du modèle doit être proportionnel à l’importance relative du modèle.

2) L’application des trois lignes de défense tout au long du cycle de vie du modèle

Voici le rôle des trois lignes de défense dans la gestion du risque de modélisation :

• La première ligne de défense (p. ex., responsable, concepteur ou utilisateur du modèle¹⁰, etc.) est chargée de gérer le risque de modélisation.
• La deuxième ligne de défense doit comporter de façon générale deux fonctions principales :
  • Examen indépendant du modèle : Cette fonction a pour responsabilité d’approuver et de valider en toute indépendance¹¹ les modèles. Elle effectue des examens conceptuels et techniques du modèle mis au point et tenu à jour, c’est-à-dire tout au long du cycle de vie du modèle (des données d’entrée aux données de sortie et de suivi).
  • Gestion du risque de modélisation : La responsabilité de cette fonction consiste à établir des politiques qui expliquent les pratiques de l’assureur en matière de gestion du risque de modélisation. Cette fonction est également chargée de tenir à jour le cadre de gouvernance du modèle. À titre d’exemple : mettre en place des politiques sur la priorisation des examens des modèles, tenir un registre des modèles, tenir un registre des documents à jour, exacts et complets,¹² faire le suivi des conclusions des modèles, etc.
• La troisième ligne de défense doit effectuer un examen et (ou) un audit périodique indépendant de la supervision du modèle à l’interne afin d’évaluer si les politiques et procédures établies sont respectées.

Selon l’importance relative du modèle, trois lignes de défense doivent être mises en œuvre à chaque étape du cycle de vie du modèle, notamment la conception, la mise en œuvre et la surveillance/l’examen des modèles nouveaux ou révisés :

• À l’étape de la conception, la première ligne de défense doit justifier sous l’angle économique ou opérationnel l’élaboration d’un nouveau modèle ou la révision d’un modèle existant. Elle doit aussi veiller à ce que la documentation à propos du processus de conception du modèle soit complète et traite des techniques de modélisation adoptées et de toute hypothèse/approximation utilisée. La deuxième ligne de défense doit effectuer un examen indépendant et approfondi.
• À l’étape de la mise en œuvre du modèle, l’assureur doit veiller à ce que le modèle approuvé soit mis en œuvre aux fins prévues et conformément au modèle souhaité. L’assureur doit procéder à des essais avant et après la mise en œuvre pour atténuer le risque d’erreur.
• À l’étape de la surveillance, le modèle doit faire l’objet d’un suivi en fonction des données émergentes. Le but est de s’assurer que le modèle convient toujours aux fins prévues. Les modèles feront l’objet d’un examen périodique ou un examen pourra être entrepris en cas d’événement et (ou) de changement important (p. ex., évolution de l’environnement opérationnel sous-jacent; changement dans la taille ou le champ d’application d’un segment d’activité; détérioration du portefeuille d’affaires; changement dans la composition des activités; dégradation du rendement du modèle; résultats de l’audit du modèle).

3) Fonction d’approbation du modèle

Pour garantir clarté et responsabilisation dans la décision de mettre en œuvre un modèle, une fonction d’approbation du modèle (FAM) doit être instaurée. Son rôle sera d’approuver les modèles nouveaux ou révisés à des fins opérationnelles. La FAM peut être un responsable principal ou un comité interne autonome, ou une fonction intégrée à un comité interne existant. L’assureur pourra décider ce qui lui convient le mieux. La FAM devra passer en revue tous les documents pertinents pour fonder sa décision, notamment les résultats du modèle ou les documents relatifs à l’examen, au travail et aux conclusions de la deuxième ligne de défense. Le cadre de GRO doit indiquer la façon dont la FAM sera mise en place.

Les modèles dont la FAM autorise l’utilisation devront satisfaire à toutes les exigences législatives en vigueur et aux lignes directrices réglementaires. La FAM devra également comprendre la façon dont tout autre modèle pourrait avoir influencé de façon sensible la conception d’un modèle mis en œuvre. La FAM devra être informée non seulement du modèle à mettre en œuvre, mais également des détails sur les autres modèles qui ont influencé celui qui sera mis en œuvre.

Selon la taille et la complexité de l’assureur, et selon l’importance relative du modèle examiné, la même personne pourrait cumuler les fonctions d’examinateur et d’approbateur, tant qu’il n’y a pas de conflit d’intérêts potentiel et que l’indépendance est maintenue. Les politiques/processus de l’assureur doivent indiquer comment cette situation sera gérée.

4) Un processus permettant d’évaluer le caractère équitable du modèle

L’assureur doit disposer de processus et d’outils qui garantissent l’absence de toute discrimination malhonnête dans les modèles utilisés aux fins de la tarification et de la souscription, tout au long du processus de modélisation.

• Données d’entrée : L’assureur doit veiller à ne pas utiliser de variable interdite. Il doit aussi prendre en compte d’autres éléments tels que les processus et les contrôles qui garantissent une utilisation éthique des données et qui lui permettent de repérer les erreurs et (ou) les préjugés et d’en atténuer l’incidence, dans la mesure du possible.
• Traitement/calcul : La modélisation doit permettre non seulement de maximiser le rendement, mais de le faire avec une contrainte d’équité. Autres facteurs à prendre en considération : s’il existe une autre spécification du modèle qui aurait moins d’incidence sur un groupe de consommateurs tout en permettant d’obtenir le niveau de prévision et de qualité requis.
• Données de sortie : L’assureur doit veiller à mettre en œuvre des mesures qui lui permettent d’évaluer et de suivre le caractère équitable des données de sortie du modèle. Autres facteurs à prendre en considération : un processus/outil garantissant que les données de sortie du modèle sont conformes à ses objectifs d’équité, entre autres objectifs; un processus permettant de détecter toute utilisation du modèle à des fins non prévues et tout préjudice accidentel à des personnes ou à des groupes au cours de la surveillance et de l’examen du modèle.

Interprétabilité et explicabilité des modèles IA/AM

La complexité et la nature automatisée des modèles fondés sur l’intelligence artificielle (IA) et l’apprentissage machine (AM) peuvent amplifier le risque de créer des modèles non équitables. Pour atténuer ce risque, l’assureur doit établir des outils qui garantissent l’interprétabilité et l’explicabilité des modèles IA/AM, ce que l’ARSF définit comme suit :

• Interprétabilité: La capacité de comprendre la validité d’un modèle, p. ex., comprendre ses mécanismes, ses résultats et si les résultats répondent aux objectifs du concepteur du modèle.
• Explicabilité: La capacité de communiquer les résultats du modèle et ses catalyseurs aux intervenants qui n’ont pas participé à la création du modèle, p. ex., les consommateurs, les partenaires d’affaires.

L’explicabilité est particulièrement importante. En effet, un consommateur bien informé sera en mesure de prendre des décisions éclairées, ce qui est conforme aux objectifs de la Ligne directrice pour le traitement équitable des consommateurs de services financiers de l’ARSF. L’ARSF reconnaît que le degré d’explication requis peut varier en fonction de l’auditoire.

Dans son cadre de GRO, l’assureur doit indiquer les processus/contrôles utilisés pour créer et mettre en œuvre ces outils, lesquels doivent être à la fois efficaces et durables pour les modèles IA/AM.

Date d’entrée en vigueur : À déterminer

¹ Énoncé des priorités de l’ARSF pour 2022-2023 (fsrao.ca)
² L’ARSF reconnaît que les pratiques fondamentales de saine gestion ici présentées pourront s’appliquer à différents produits ou secteurs d’activité, ou être mises en œuvre à l’échelle de l’entreprise par les assureurs IARD.
³ L’ARSF est en train d’élaborer une ligne directrice qui informera les assureurs automobiles des exigences réglementaires et des attentes de conformité concernant les déclarations réglementaires et la résolution des erreurs de tarification et de souscription.
⁴ Les pratiques de saine gestion du risque opérationnel énoncées dans la présente ligne directrice sont conformes aux pratiques promulguées par le Committee of Sponsoring Organizations (COSO) et par l’Organisation internationale de normalisation (ISO) ainsi qu’aux lignes directrices du Bureau du surintendant des institutions financières (BSFI) (à savoir la ligne directrice B-10). Les pratiques de gestion du risque de modélisation présentées à l’annexe 1 respectent les lignes directrices E-23 et E-25 du BSFI.
⁵ Objets de l’ARSF (voir l’article 3) : https://www.ontario.ca/fr/lois/loi/16f37
⁶ Le paragraphe (3) de l’article 1 du Règlement sur les APMM prescrit comme des actes ou des pratiques malhonnêtes ou mensongers : « Toute discrimination malhonnête quant aux taux ou aux tableaux des taux entre des risques courus en Ontario qui présentent essentiellement les mêmes risques matériels dans la même classification territoriale ».
Le paragraphe (11) de l’article 1 du Règlement sur les APMM prescrit comme des actes ou des pratiques malhonnêtes ou mensongers : « Lors de la tarification du risque d’assurance correspondant à une personne ou à un véhicule en vue de calculer la prime payable pour une police d’assurance automobile, le fait de mal classer la personne ou le véhicule dans le système de classement des risques que l’assureur utilise ou qu’il est tenu par la loi d’utiliser ».
Le paragraphe (5) de l’article 2 du Règlement sur les APMM prescrit comme des actes ou des pratiques malhonnêtes ou mensongers : « Le fait [par un assureur, son dirigeant, son employé ou son agent ou un courtier] d’utiliser des renseignements ou d’autres critères d’une manière interdite sur réception d’une demande de devis d’assurance automobile, d’une demande de formulaire de proposition d’assurance automobile, d’une proposition d’assurance automobile ou relativement à une offre de renouvellement d’un contrat d’assurance automobile en vigueur ».
⁷ Un modèle s’entend généralement d’une méthode, d’un système et (ou) d’une approche qui appliquent des techniques mathématiques/statistiques/actuarielles et des hypothèses théoriques et fondées sur un jugement expert (notamment des hypothèses actuarielles) pour traiter des données d’entrée afin de générer des estimations quantitatives.
⁸ Source de la définition : http://www.actuarialstandardsboard.org/asops/propertycasualty-ratemaking/ (en anglais seulement)
⁹ Exemples des principaux indicateurs de risque utilisés aux fins de la surveillance et du signalement des risques associés à la modélisation :

• Le nombre de modèles évalués à risque résiduel élevé
• Le nombre de modèles dont le rendement présente une détérioration significative
• Le nombre de modèles réputés inadaptés aux fins prévues à l’issue de l’examen indépendant
• Le nombre d’examens de modèle en retard
• Le nombre d’erreurs de tarification et de souscription, et leur incidence
• Le nombre de signalements en retard d’erreurs de tarification et de souscription

¹⁰ Le responsable du modèle est l’unité ou la personne de première ligne chargée de choisir le modèle, d’en coordonner l’élaboration, de procéder à l’essai initial, d’en effectuer un suivi continu, d’en analyser les résultats et de gérer les changements et la documentation. Le responsable du modèle peut également être le concepteur du modèle, lequel est chargé de concevoir, de créer, d’évaluer et de documenter les modèles, ou l’utilisateur du modèle, lequel s’appuie sur les données de sortie du modèle pour prendre des décisions opérationnelles.
¹¹ La « vérification » et la « validation » sont deux formes d’examen qui permettent d’établir le caractère approprié d’un modèle. Pour les différencier, précisons que la « validation » sert à déterminer si un modèle est prêt à être mis en service tandis que la « validation » sert à déterminer si un modèle en cours d’utilisation est toujours adapté.
¹² Par exemple, les décisions et les principaux renseignements liés à l’approbation et à la mise en œuvre des modèles doivent être documentés comme il convient.