Ligne directrice 

☐ Interprétation     ☐ Approche     ☑ Information     ☐ Décisions

No AU0137INF

Télécharger un exemplaire en format PDF

 

Objet

La présente ligne directrice a pour objet de présenter les pratiques fondamentales de la saine gestion du risque opérationnel (GRO) lors de la tarification et de la souscription de l’assurance automobile.[1]

Son application permettra de promouvoir une tarification juste, raisonnable et exacte pour les consommateurs. Elle favorisera également un traitement équitable au profit des consommateurs lors du processus de souscription.

Le degré de mise en œuvre/d’adoption de la présente ligne directrice doit être proportionnel à la nature (notamment le modèle d’affaires), à la taille, à la complexité et au profil de risque de l’assureur.

Stratégie de réforme de la réglementation de la tarification et de la souscription de l’assurance automobile

La présente ligne directrice sur la gestion du risque opérationnel a été élaborée dans le cadre de la stratégie plus vaste de l’ARSF visant à réformer la réglementation des tarifs et de la souscription dans le secteur de l’assurance automobile en Ontario. Elle s’appuie sur le processus normalisé relatif au dépôt de demandes et la Règle relative aux actes ou pratiques malhonnêtes ou mensongers de l’ARSF, et elle est conçue comme une étape supplémentaire et importante dans la direction de la transition vers une réglementation fondée sur des principes et axée sur les résultats.

Cette ligne directrice ne crée pas de nouvelles obligations de conformité, mais elle a pour but de tracer la voie vers un avenir où la GRO deviendra une obligation et permet des processus de changement de taux accélérés pour les entités adhérentes. À cette fin, l’ARSF prévoit passer d’une ligne directrice émise à titre d’information à une combinaison de lignes directrices émises à titre d’approche et d’interprétation au fur et à mesure que le travail à l’appui de la réforme de la réglementation de la tarification et de la souscription progressera.

Les lignes directrices sur la GRO émises à titre d’interprétation indiqueraient alors les exigences en matière de GRO dans certains articles de la Règle relative aux actes ou pratiques malhonnêtes ou mensongers (APMM) de l’ARSF, et créeraient ainsi des obligations de conformité, tandis que les lignes directrices émises à titre d’approche expliqueraient comment les entités réglementées seraient évaluées et auraient accès aux processus simplifiés de modification des taux. De cette manière, la deuxième phase prévue par l’ARSF dans le cas de la ligne directrice concernant la GRO servira à faciliter une plus grande responsabilisation des assureurs en ce qui a trait à l’équité de la tarification et de la souscription tout en améliorant l’efficacité de la réglementation.

Portée

Cette ligne directrice vise les compagnies d’assurance qui offrent de l’assurance automobile en Ontario.[2]

Justification et contexte

À l’issue de consultations ciblées menées auprès des assureurs automobiles et après analyse des renseignements recueillis dans le cadre de l’examen des dépôts de taux, l’ARSF a relevé des écarts dans les pratiques de gestion du risque opérationnel et de gouvernance de la modélisation au sein de l’industrie.

Voici des exemples :

  • Absence des trois lignes de défense, manque de contrôle et de gouvernance pendant le cycle de vie du modèle (p. ex., absence d’une deuxième ligne indépendante aux fins de l’examen du modèle ou d’une fonction d’approbation du modèle), ce qui peut mener à des erreurs dans la tarification des consommateurs.
  • Absence de processus permettant de comprendre l’incidence de l’utilisation des modèles sur les consommateurs individuels, notamment les modèles d’apprentissage automatique, ce qui peut donner lieu à une discrimination injuste et constituer des actes ou pratiques malhonnêtes ou mensongers (APMM) prescrits par la Règle relative aux actes ou pratiques malhonnêtes ou mensongers (la Règle relative aux APMM).
  • Absence d’un processus de gestion du risque opérationnel permettant de repérer, d’atténuer et de signaler les erreurs de tarification et/ou de souscription,[3] ce qui peut mener à des erreurs non décelées et à des primes erronées pour les consommateurs.

À l’issue d’un survol provincial de la réglementation et d’une consultation menée auprès des intervenants[4], l’ARSF a défini des pratiques de saine gestion du risque opérationnel pour remédier à ces écarts.

Le fait de définir et de promouvoir des pratiques de saine gestion du risque opérationnel et de gouvernance des modèles est conforme aux objets de l’ARSF en vertu de la loi, c’est-à-dire[5] :

  • Contribuer à la confiance du public dans les secteurs réglementés.
  • Surveiller et évaluer les progrès et les tendances dans les secteurs réglementés.
  • Promouvoir des normes de conduite professionnelle élevées.
  • Protéger les droits et intérêts des consommateurs.
  • Favoriser le développement de secteurs des services financiers solides, durables, concurrentiels et novateurs.

Selon l’ARSF, l’adoption du cadre de GRO aidera les assureurs à respecter les exigences de la Loi sur les assurances et de la Loi sur la stabilisation des taux d’assurance automobile, notamment en évitant toute contravention à l’article 439 de la Loi sur les assurances dans la mesure où celui se rattache aux alinéas 4(1)(i)-(ii), l’alinéa 9(1)v), l’alinéa 9 (1)(ii) et l’alinéa 9 (1)iv) de la Règle relative aux APMM.[6]

L’ARSF prévoit également que la résilience opérationnelle[7] est un résultat qui bénéficie d’une gestion efficace du risque opérationnel. Les activités de GRO comme l’identification et l’évaluation des risques, l’atténuation des risques (y compris la mise en œuvre de contrôles) et le suivi des risques et de l’efficacité des contrôles servent à minimiser les perturbations opérationnelles et leur impact[8].

Principes

L’approche suivie par l’ARSF pour réglementer les tarifs de l’assurance automobile repose sur ses Principes de réglementation des taux. Ces principes ont joué un rôle central dans l’élaboration de la présente ligne directrice.

En adoptant une approche fondée sur des principes et orientée vers les résultats pour gérer le risque opérationnel en matière de tarification et de souscription, l’ARSF a suivi l’ensemble des six principes, mais plus particulièrement celui de l’intérêt des consommateurs. 

Cadre de gestion du risque opérationnel

Définition du risque opérationnel et autre terminologie

Le risque opérationnel se définit comme étant le risque de subir des pertes découlant de défauts attribuables aux ressources humaines, telles que des procédures et des systèmes inadéquats ou défaillants, ou d’événements extérieurs.

Les préoccupations de l’ARSF concernant le risque opérationnel sont motivées par les résultats négatifs pour les consommateurs et les infractions à la législation applicable qui peuvent se produire si le risque opérationnel (y compris le risque de modèle) n’est pas bien géré. Pour ces types de risques, il s’agit de s’assurer qu’une gouvernance et des contrôles appropriés sont en place pour identifier et gérer les risques, plutôt que de gérer chaque activité en détail.

Selon l’ARSF, les activités de tarification et de souscription présentent un risque opérationnel qui peut être géré de la même façon.

C’est pourquoi, aux fins de la présente ligne directrice :

  • L’abréviation GRO désigne la gestion du risque opérationnel associé aux activités de tarification et de souscription de l’assurance automobile.
  • L’expression « cadre de GRO » fait référence aux politiques, aux procédures et à tout document connexe expliquant la façon dont l’assureur gère le risque opérationnel dans ses activités de tarification et de souscription de l’assurance automobile.
  • L’expression « haute direction » désigne la haute direction de l’assureur, notamment le directeur général, le directeur financier, le directeur général de la gestion des risques, le chef de la conformité, les dirigeants responsables de la tarification et de la souscription, et tout autre employé reconnu officiellement par le conseil d’administration de l’assureur.

Le cycle de gestion du risque opérationnel

En général, la gestion du risque opérationnel dans le cadre des processus d’un assureur respecte un cycle constant, appelé « cycle de GRO ».

La présente section porte sur le cycle de GRO et les étapes connexes à respecter, selon l’ARSF, pour gérer le risque opérationnel dans le cas des activités de tarification/souscription, et notamment certaines considérations à prendre en compte.

  1. Établissement du risque : Le cadre de GRO doit indiquer la façon dont le risque opérationnel sera établi en temps opportun. Les outils utilisés pour établir ce risque seront choisis en fonction de divers facteurs, en particulier la nature (notamment le modèle d’affaires), la taille, la complexité et le profil de risque de l’assureur – les exemples d’outils d’identification comprennent les enquêtes, les ateliers, les registres et les questionnaires.
  2. Évaluation du risque : Le cadre de GRO doit indiquer la façon dont l’assureur évaluera de façon systématique l’importance relative du risque établi. L’assureur devrait être capable de déterminer son risque inhérent et résiduel, le risque inhérent étant défini comme le niveau de risque avant la prise en compte des contrôles existants ou des réponses au risque, et le risque résiduel étant défini comme le niveau de risque après la prise en compte des contrôles/réponses existants.
  3. Priorisation et atténuation des risques : Selon le niveau de risque établi dans le cadre du processus d’évaluation, l’assureur peut classer tout nouveau risque par rapport aux risques préexistants afin d’établir l’ordre de priorité et ainsi déterminer la manière dont le risque devra être géré (p. ex., accepter, réduire, partager, éviter) pour s’aligner à sa tolérance au risque. Le cadre de GRO de l’assureur doit énoncer les processus et contrôles permettant d’établir les priorités et de gérer les risques.
  4. Surveillance du risque et reddition de compte : Le cadre de GRO doit indiquer la façon dont l’assureur entend surveiller les risques, informer les intervenants des niveaux de risque et gérer les risques qui ne sont pas à des niveaux acceptables. Lorsqu’un risque n’est pas à un niveau acceptable, le cadre de GRO doit indiquer comment l’assureur entend mettre en œuvre des plans d’action pour ramener ce risque dans la fourchette acceptable, notamment en les transférant, si nécessaire, à la haute direction et au conseil d’administration.

Le cycle de GRO doit être appliqué de façon continue pour les processus existants et de façon ponctuelle pour les nouveaux produits ou projets, ou les changements envisagés dans le cas des produits ou processus existants.

L’assureur doit aussi régulièrement passer en revue tous les domaines associés à un risque élevé (même si le risque a été atténué de façon satisfaisante à un niveau acceptable) pour bien comprendre l’ensemble des risques importants et ainsi veiller à ce que le risque respecte sa tolérance au risque.

Pratiques fondamentales de la gestion du risque opérationnel

Selon l’ARSF, pour que le cycle de GRO puisse bien gérer le risque associé à la tarification et à la souscription, le cadre de GRO doit, au minimum, prévoir les pratiques fondamentales suivantes :

  1. Définir la propension à prendre des risques opérationnels dans le cadre des activités de tarification et de souscription de l’assurance automobile.
  2. Définir clairement les rôles et responsabilités à l’aide de solides mécanismes de responsabilisation.
  3. Mettre en place des mécanismes de gouvernance des données.
  4. Appliquer en continu le cadre de GRO.

Chacune de ces pratiques fondamentales est expliquée ci-dessous.

1) Définir la propension à prendre des risques opérationnels dans le cadre des activités de tarification et de souscription de l’assurance automobile

Pour garantir une gestion uniforme des risques opérationnels dans toute l’entreprise, l’assureur doit rédiger une déclaration concernant sa propension à prendre des risques opérationnels dans le cadre de ses activités de tarification et de souscription de l’assurance automobile.

Il peut s’agit d’une déclaration ou d’une série de déclarations qui décrivent l’attitude de l’entité face au risque. Cette déclaration doit, plus précisément, décrire la nature et les types de risques opérationnels que l’assureur est prêt à prendre, ou censé prendre, pour atteindre ses objectifs opérationnels.

La déclaration de la propension à prendre des risques doit être brève et claire, et comporter un élément mesurable (limites ou seuils). L’élément mesurable a pour but d’indiquer le niveau de risque opérationnel jugé acceptable au sein de l’entreprise. Les limites ou les seuils peuvent également servir à indiquer le niveau à partir duquel les incidents opérationnels, les quasi-préjudices ou les tendances cumulées entraînent un signalement au conseil d’administration ou à la haute direction (des seuils de signalement distincts peuvent être établis dans certains cas.

Au moment de formuler sa déclaration de la propension à prendre des risques, l’assureur peut prendre en considération des éléments tels que : l’évolution de l’environnement externe, les variations importantes du chiffre d’affaires ou du volume d’activités, la qualité de l’environnement de contrôle, l’efficacité des stratégies de gestion ou d’atténuation des risques, l’historique des incidents opérationnels enregistrés par l’assureur, ainsi que la fréquence, le nombre ou la nature des cas de violation de la limite ou du seuil prévu dans la déclaration.

Quand le profil de risque opérationnel de l’assureur est moindre, la propension à prendre des risques peut être démontrée par le recours aux seuils de déclaration/signalement aux échelons supérieurs des événements importants liés aux risques opérationnels.

2) Définir clairement les rôles et responsabilités à l’aide de solides mécanismes de responsabilisation

Pour qu’un cadre de GRO soit efficace, il est essentiel de documenter et de définir clairement tous les intervenants et leurs responsabilités respectives, et d’instaurer des mécanismes adéquats de responsabilisation. Pour cela, il faut mettre en place une structure de gouvernance et le modèle des « trois lignes de défense », comme il est indiqué ci-après.

Structure de gouvernance

Pour instaurer une solide culture de la gestion du risque à l’échelle de l’entreprise, le conseil d’administration et la haute direction doivent jouer un rôle actif.

En tant qu’ultime responsable des activités d’un assureur, le conseil d’administration doit rendre des comptes relativement au cadre de GRO. Cet intervenant doit notamment veiller à bien comprendre les risques opérationnels de l’assureur. Il doit s’assurer que le cadre de GRO fonctionne comme prévu, en vérifiant notamment s’il existe de véritables fonctions indépendantes de gestion du risque, et si elles sont efficaces.

La haute direction doit mettre en place et tenir à jour les politiques et processus qui font en sorte que le cadre de GRO est opérationnel, en intégrant les mécanismes de responsabilisation qui conviennent, tels que le modèle des trois lignes de défense présenté ci-dessous, dans toute l’entreprise. Les problèmes doivent être transférés au conseil d’administration et à la haute direction lorsque c’est nécessaire.

Trois lignes de défense

Une responsabilisation adéquate à l’égard de la gestion du risque opérationnel est essentielle. Un moyen de parvenir à une telle responsabilisation est d’instaurer une structure reposant sur « trois lignes de défense ». À titre d’exemple, les rôles et responsabilités de chaque ligne de défense sont décrits ci-dessous. Pour déterminer ce qui constitue une structure adéquatement fiable, l’assureur tiendra compte de facteurs tels que la taille, la structure du capital social, la complexité des activités, la stratégie organisationnelle et le profil de risque.

Première ligne de défense

Le secteur d’activité, qui forme la première ligne de défense, est responsable du risque, ce qui lui permet de détecter et de gérer le risque opérationnel inhérent et résiduel dans le cadre de ses activités. La première ligne de défense est chargée de suivre le cycle de vie de GRO conformément au cadre de GRO de l’assureur, notamment en respectant sa propension au risque, ses politiques et processus, ses exigences en matière de production de rapports, ses mécanismes de surveillance, etc. La première ligne de défense peut créer un processus d’assurance de la qualité pour mieux assumer ses responsabilités quant au risque.

Deuxième ligne de défense

La deuxième ligne est une fonction indépendante, notamment la conformité ou la gestion du risque, qui doit remettre en cause et surveiller efficacement les activités de la première ligne. La deuxième ligne est responsable de la conception et de la mise en œuvre du cadre de GRO et son rôle est de veiller à ce que le risque opérationnel soit géré comme il convient et conformément à la propension au risque de l’assureur. L’examen effectué par la deuxième ligne doit, au minimum, porter sur les éléments suivants :

  • Reproductibilité : La deuxième ligne de défense doit comprendre les processus et procédures de la première ligne. Elle doit suivre de façon indépendante le processus décisionnel de la première ligne. Cela implique nécessairement que la première ligne tienne une documentation à jour, précise et complète que la deuxième ligne pourra examiner.
  • Validité : La deuxième ligne de défense doit effectuer un examen indépendant et objectif de la viabilité conceptuelle de la gestion du risque opérationnel assurée par la première ligne. Si la deuxième ligne estime que cette gestion est inadéquate ou incomplète, elle doit fournir une rétroaction sur la façon de remédier à la situation.

Troisième ligne de défense

La troisième ligne de défense est gérée par la fonction de vérification interne. Elle donne l’assurance, en toute indépendance, au conseil d’administration et à la haute direction, que le cadre de GRO de l’assureur est efficace dans le contexte de ses activités de tarification et de souscription.

La troisième ligne de défense doit être séparée et indépendante de la première et de la deuxième ligne de défense. Elle doit examiner et tester, de façon objective, les contrôles, les processus et les systèmes de GRO, ainsi que l’efficacité des fonctions de la première et de la deuxième ligne de défense.

La troisième ligne de défense est la mieux placée pour observer et examiner la GRO de façon générale, dans le contexte des fonctions globales de gouvernance opérationnelle et de gestion du risque mises en place par l’assureur. Le champ d’application des vérifications et examens objectifs doit être assez large pour permettre de vérifier si le cadre de GRO a été mis en œuvre comme prévu et fonctionne efficacement.

3) Mettre en place des mécanismes de gouvernance des données

L’efficacité de la prise de décisions dépend de la qualité des données. Le cadre de GRO doit indiquer la façon dont l’assureur applique ses pratiques de gouvernance des données à la GRO, en veillant à ce que les données utilisées soient appropriées, exactes, complètes et opportunes. Les éléments à inclure sont les suivants :

  • Évaluations de la qualité des données : L’assureur doit établir les caractéristiques que les données doivent posséder pour produire des estimations crédibles. Selon ses critères, l’assureur doit ensuite vérifier si les données sont adaptées à leur utilisation. La qualité des données doit être régulièrement surveillée afin de garantir qu’elles conviennent à leur utilisation.
  • Établissement des possibilités/problèmes liés aux données : Les problèmes seront rapidement repérés et réglés, de même que les améliorations qui pourraient être apportées aux processus liés aux données, dans le but d’accroître la qualité des données existantes et futures.
  • Détermination des limites des données : L’assureur doit établir toutes les limites connues des données et comprendre pourquoi, malgré ces limites, les données conviennent à leur utilisation et étudier les considérations particulières liées à la surveillance de ces données, etc.
  • Responsabilité à l’égard des données : En plus des caractéristiques relatives aux données, il est essentiel que chaque source de données ait un responsable désigné aux fins de la responsabilisation à l’égard de la qualité des données.

4) Appliquer en continu le cadre de GRO

L’application du cadre de GRO est importante non seulement à des fins de vérifiabilité, mais également à des fins de continuité d’exploitation, c’est-à-dire la capacité, pour l’assureur, d’exercer durablement ses activités. Les fonctions d’examen jouent un rôle essentiel dans l’établissement des améliorations possibles du cadre de GRO.

Parmi les pratiques de saine gestion observées par l’ARSF :

  • Formation : Pour pouvoir mettre en œuvre et tenir à jour un cadre de GRO, le personnel doit bien comprendre ses rôles et responsabilités. L’assureur doit indiquer dans son cadre de GRO les politiques et processus employés pour garantir la formation adéquate de son personnel de façon continue. Le cadre de GRO indiquera également comment l’assureur procède pour évaluer le caractère adéquat de ses processus de formation.
  • Documentation : L’assureur doit veiller à tenir une documentation à jour, exacte et complète du cadre de GRO. Citons, à titre d’exemple, des éléments/documents tels que le registre des risques, les déclarations sur la propension au risque, les politiques de gestion du risque de modélisation, les documents sur la modélisation, les principales décisions, les documents sur les processus, les interactions entre les trois lignes de défense, l’utilisation des principaux indicateurs de risque, etc. L’assureur doit également veiller à tenir un registre de la matérialisation des risques opérationnels ou des quasi-préjudices, ainsi que tout exercice utilisé pour tirer un enseignement de ces événements (p. ex., une analyse des causes fondamentales). De même, l’assureur doit documenter tout renseignement lié à la création et à la tenue à jour du cadre de GRO, ainsi qu’à la prise de décision effectuée tout au long du cycle de vie de la GRO.
  • Examens périodiques : L’évolution des activités, du marché ou d’autres conditions peuvent rendre inadéquats certaines politiques ou certains processus, entre autres éléments. Il faudra alors procéder à une révision. Le cadre de GRO doit indiquer la façon dont l’assureur surveillera le caractère approprié de tous les éléments du cadre et, s’il estime que c’est nécessaire, la façon dont il adaptera ces éléments. Cela comprend, sans s’y limiter, la formation, la documentation, la déclaration relative à la propension au risque et les structures de gouvernance.

Gestion du risque de modélisation

Du fait de leur nature quantitative, les modèles[9] peuvent être gérés de façon plus précise que les modèles classiques de gestion du risque opérationnel, tout en amenant des risques supplémentaires en raison de leur complexité. Ces risques sont particulièrement marqués dans le cas des techniques d’analyse avancées qui sont utilisées aux fins de la tarification et de la souscription, comme l’apprentissage machine et l’intelligence artificielle. Ces techniques présentent aussi des risques sur le plan de l’interprétabilité et de l’explicabilité. L’annexe 1 indique comment les pratiques de GRO peuvent être appliquées à la gestion du risque de modélisation.

Pertinence par rapport aux autres obligations

Voici des exemples d’autres domaines auxquels les pratiques de GRO peuvent s’appliquer :

  • Produits et services tiers : Les assureurs peuvent décider d’exploiter des données de tiers, d’utiliser des outils créés par des parties externes ou de faire appel à une tierce partie pour mettre au point des produits qu’eux seuls utiliseront. Le fait de collaborer avec des tierces parties présente des risques supplémentaires. Les assureurs doivent prendre des mesures raisonnables pour surveiller l’utilisation des données ou des services de tiers. Les assureurs conserveront leurs obligations sur le plan réglementaire. Ce sont eux, et non pas les fournisseurs, qui assument la responsabilité ultime des résultats pour les consommateurs.
  • Protection des renseignements personnels : Les assureurs ont diverses obligations en matière de confidentialité et du respect de la vie privée, par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral et le projet de loi C-11 (Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives à d’autres lois). Des pratiques comme la structure des trois lignes de défense peuvent aider les assureurs à respecter ces obligations.

Date d’entrée en vigueur et examen futur

La présente ligne directrice est entrée en vigueur le 20 septembre 2022 et elle sera examinée au plus tard le 20 septembre 2025.

À propos de cette ligne directrice

Le présent document est conforme au Cadre de lignes directrices de l’ARSF. En tant que ligne directrice émise à titre d’information, il décrit les points de vue de l’ARSF sur certains sujets sans créer de nouvelles obligations de conformité pour les personnes réglementées.

Annexe 1 : Gestion du risque de modélisation

La présente annexe énonce les pratiques fondamentales de saine gestion des modèles utilisés dans les processus suivants :

  • Établissement des taux : Tout modèle utilisé dans le processus d’estimation des coûts futurs associés au transfert du risque d’assurance ou autre mécanisme de transfert du risque.[10]. Cela inclut l’estimation des coûts futurs en totalité et selon les niveaux sous-jacents qui composent cette estimation.
  • Systèmes de classement des risques : Tout modèle utilisé pour attribuer des risques à des groupes en fonction du coût attendu ou de l’avantage prévu associé à la couverture ou aux services fournis.
  • Souscription : Tout modèle utilisé pour déterminer si un risque devrait être enregistré, réitéré ou annulé.

Application du cycle de GRO à la gestion du risque de modélisation

L’ARSF a observé la façon dont les pratiques de GRO, étant fondées sur des principes, peuvent être appliquées de façon efficace à la gestion du risque de modélisation (GRM).

En créant et en tenant à jour un cadre efficace de GRO à l’interne, notamment à l’aide de contrôles tels que les trois lignes de défense, les assureurs risquent moins de créer des modèles injustes et inéquitables.

L’ARSF reconnaît que les assureurs peuvent déjà avoir mis en place des cadres de gestion du risque de modélisation de façon autonome. Les présentes pratiques devraient être adoptées conformément à un principe de proportionnalité, selon l’importance relative des modèles, ainsi que la taille et la complexité des activités de l’assureur.

Établissement du risque

Le cadre de GRO de l’assureur doit régir la création de tout modèle. L’assureur devrait tenir un registre des modèles permettant d’avoir une vue globale de tous les modèles utilisés.

Évaluation du risque

Pour chaque modèle établi, l’assureur devrait évaluer les processus/contrôles opérationnels qui servent à gérer le risque de modélisation. Ainsi, l’assureur sera en mesure de définir le risque opérationnel inhérent à ses activités de modélisation et la qualité de la gestion du risque mise en œuvre, ce qui lui permettra d’évaluer le risque opérationnel résiduel.

En mettant en place de solides processus/contrôles, l’assureur peut atténuer les risques suivants qui accompagnent le processus de modélisation :

  • Données d’entrée : Les problèmes concernant les données, dont l’inexactitude, le caractère inadéquat, l’insuffisance, le manque d’exhaustivité et la mauvaise utilisation et/ou la non-compréhension des données.
  • Traitement/calcul : Les problèmes dans l’élaboration du modèle, notamment des hypothèses et/ou des jugements erronés, des spécifications inappropriées, des erreurs de codage ou de calcul, des modèles instables, etc.
  • Données de sortie : Les problèmes de mise en œuvre et de surveillance du modèle, tels qu’une utilisation inappropriée, déplacée ou anormale du modèle, une mise en œuvre fautive (p. ex., des erreurs de tarification), une mauvaise interprétation des résultats du modèle ou des contrôles et/ou des mécanismes de surveillance inadéquats. Une fois qu’il sait si les contrôles en place sont adéquats et s’ils sont appliqués efficacement, l’assureur peut décider comment traiter un risque identifié.

En s’assurant de la pertinence et de la bonne application des contrôles, l’assureur peut alors décider de la manière de gérer un risque établi.

Priorisation et atténuation des risques

Un assureur peut décider de la manière de gérer un risque selon le niveau de risque qui ressort de l’évaluation.

Suivi et signalement des risques

Les processus de surveillance et de signalement des risques[11] permettent à l’assureur de déterminer si le risque opérationnel associé à un modèle demeure dans une fourchette acceptable et s’il est nécessaire de transmettre un problème à l’échelon supérieur, p. ex., à la haute direction ou au conseil d’administration.

Pratiques fondamentales de la gestion du risque de modélisation

L’ARSF s’attend à ce que la gestion du risque de modélisation comporte au moins ce qui suit :

  1. Une définition claire de l’importance relative du modèle.
  2. L’application des trois lignes de défense tout au long du cycle de vie du modèle.
  3. Une fonction d’approbation du modèle.
  4. Un processus permettant d’évaluer le caractère équitable du modèle.

1) Une définition claire de l’importance relative du modèle

Le cadre de GRO de l’assureur doit prévoir un processus pour évaluer et classer l’importance relative des modèles (p. ex., complexité du modèle et incidence financière), ainsi qu’une structure de gouvernance adaptée à l’importance relative du modèle. Les mesures tant quantitatives que qualitatives doivent être prises en compte dans la mesure du possible.

Le degré de gouvernance/contrôle en place à chaque étape du cycle de vie du modèle doit être proportionnel à l’importance relative du modèle.

2) L’application des trois lignes de défense tout au long du cycle de vie du modèle

Voici le rôle des trois lignes de défense dans la gestion du risque de modélisation :

  • La première ligne de défense (p. ex., responsable, concepteur ou utilisateur du modèle[12], etc.) est chargée de gérer le risque de modélisation.
  • La deuxième ligne de défense doit comporter de façon générale deux fonctions principales :
    • Examen indépendant du modèle : Cette fonction a pour responsabilité d’approuver et de valider les modèles en toute indépendance[13]. Elle effectue des examens conceptuels et techniques du modèle mis au point et tenu à jour, c’est-à-dire tout au long du cycle de vie du modèle (des données d’entrée aux données de sortie et de suivi).[14]
    • Gestion du risque de modélisation : La responsabilité de cette fonction consiste à établir des politiques qui expliquent les pratiques de l’assureur en matière de gestion du risque de modélisation. Cette fonction est également chargée de tenir à jour le cadre de gouvernance du modèle. À titre d’exemple : mettre en place des politiques sur la priorisation des examens des modèles, tenir un registre des modèles, tenir un registre des documents à jour, exacts et complets,[15] faire le suivi des conclusions des modèles, etc.
  • La troisième ligne de défense doit effectuer un examen et/ou un audit périodique indépendant de la supervision du modèle à l’interne, afin d’évaluer si les politiques et procédures établies sont respectées

Selon l’importance relative du modèle, trois lignes de défense doivent être mises en œuvre à chaque étape du cycle de vie du modèle, notamment la conception, la mise en œuvre et la surveillance/l’examen des modèles nouveaux ou révisés.

  • À l’étape de la conception, la première ligne de défense doit justifier, sous l’angle économique ou opérationnel, l’élaboration d’un nouveau modèle ou la révision d’un modèle existant. Elle doit aussi veiller à ce que la documentation relative au processus de conception du modèle soit complète et traite des techniques adoptées pour la modélisation, ainsi que de toute hypothèse/approximation utilisée. La deuxième ligne de défense doit effectuer un examen indépendant et approfondi.
  • À l’étape de la mise en œuvre du modèle, l’assureur doit veiller à ce que le modèle approuvé soit mis en œuvre aux fins prévues et conformément au modèle souhaité. L’assureur doit procéder à des essais avant et après la mise en œuvre pour atténuer le risque d’erreur, et documenter ses processus.
  • À l’étape de la surveillance, le modèle doit faire l’objet d’un suivi en fonction des données émergentes. Le but est de s’assurer que le modèle convient toujours aux fins prévues. Les modèles feront l’objet d’un examen périodique ou un examen pourra être entrepris en cas d’événement et/ou de changement important (p. ex., évolution de l’environnement opérationnel sous-jacent; changement dans la taille ou le champ d’application d’un segment d’activité; détérioration du portefeuille d’affaires; changement dans la composition des activités; dégradation du rendement du modèle; résultats de l’audit du modèle).

3) Une fonction d’approbation du modèle

Pour garantir clarté et responsabilisation dans la décision de mettre en œuvre un modèle, une fonction d’approbation du modèle (FAM) doit être instaurée. Son rôle sera d’approuver les modèles nouveaux ou révisés à des fins opérationnelles.

La FAM peut être un responsable principal ou un comité interne autonome, ou une fonction intégrée à un comité interne existant. L’assureur pourra décider ce qui lui convient le mieux. La FAM devra passer en revue tous les documents pertinents pour prendre sa décision, notamment les résultats du modèle ou les documents relatifs à l’examen, au travail et aux conclusions de la deuxième ligne de défense. Le cadre de GRO doit indiquer la façon dont la FAM sera mise en place.

Les modèles dont la FAM autorise l’utilisation doivent satisfaire à toutes les exigences législatives en vigueur, ainsi qu’aux lignes directrices réglementaires. La FAM devra également comprendre la façon dont tout autre modèle pourrait avoir influencé de façon sensible la conception d’un modèle mis en œuvre. La FAM devra être informée non seulement du modèle à mettre en œuvre, mais également des détails sur les autres modèles qui ont influencé celui qui sera mis en œuvre.

Selon la taille et la complexité de l’assureur, et selon l’importance relative du modèle examiné, la même personne pourrait cumuler les fonctions d’examinateur et d’approbateur, tant qu’il n’y a pas de conflit d’intérêts potentiel et que l’indépendance est maintenue. Les politiques/processus de l’assureur doivent indiquer comment cette situation sera gérée.

4) Un processus permettant d’évaluer le caractère équitable du modèle

L’assureur doit disposer de processus et d’outils qui garantissent l’absence de toute discrimination malhonnête dans les modèles utilisés aux fins de la tarification et de la souscription, tout au long du processus de modélisation :

  • Données d’entrée : L’assureur doit veiller à ne pas utiliser de variable interdite. Il doit aussi prendre en compte d’autres éléments tels que les processus et les contrôles qui garantissent une utilisation éthique des données et qui lui permettent de repérer les erreurs et/ou les préjugés et d’en atténuer l’incidence, dans la mesure du possible.
  • Traitement/calcul : La modélisation doit permettre non seulement de maximiser le rendement, mais de le faire avec une contrainte d’équité. Autres facteurs à prendre en considération : s’il existe une autre spécification du modèle qui aurait moins d’incidence sur un groupe de consommateurs tout en permettant d’obtenir le niveau de prévision et de qualité requis.
  • Données de sortie : L’assureur doit veiller à mettre en œuvre des mesures qui lui permettent d’évaluer et de suivre le caractère équitable des données de sortie du modèle. Autres facteurs à prendre en considération : un processus/outil garantissant que les données de sortie du modèle sont conformes à ses objectifs d’équité, entre autres objectifs; un processus permettant de détecter toute utilisation du modèle à des fins non prévues et tout préjudice accidentel à des personnes ou à des groupes au cours de la surveillance et de l’examen du modèle.

Interprétabilité et explicabilité des modèles AI/AM

La complexité et la nature automatisée des modèles fondés sur l’intelligence artificielle (IA) et l’apprentissage machine (AM) peuvent amplifier le risque de créer des modèles non équitables. Pour atténuer ce risque, l’assureur doit établir des outils qui garantissent l’interprétabilité et l’explicabilité des modèles IA/AM, ce que l’ARSF définit comme suit :

  • Interprétabilité : La capacité de comprendre la validité d’un modèle (p. ex., comprendre ses mécanismes, ses résultats du modèle et si les résultats répondent aux objectifs du concepteur du modèle).
  • Explicabilité : La capacité de communiquer les résultats du modèle et ses catalyseurs aux intervenants qui n’ont pas participé à la création du modèle (p. ex., les consommateurs, les partenaires d’affaires, l’ARSF, etc.)

L’explicabilité est particulièrement importante. En effet, un consommateur bien informé sera en mesure de prendre des décisions éclairées, ce qui est conforme aux objectifs de la Ligne directrice pour le traitement équitable des consommateurs de services financiers de l’ARSF. L’ARSF reconnaît que le degré d’explication requis peut varier en fonction de l’auditoire.[16]

Dans son cadre de GRO, l’assureur doit indiquer les processus/contrôles utilisés pour créer et mettre en œuvre ces outils, lesquels doivent être à la fois efficaces et durables pour les modèles IA/AM.

Date d’entrée en vigueur : 20 septembre 2022


1 Information : Indique la vision de l’ARSF concernant certains sujets sans la création de nouvelles obligations de conformité pour les personnes réglementées. Voir le Cadre de lignes directrices de l’ARSF pour connaître les différents types d’orientations.
2 L’ARSF reconnaît que les pratiques fondamentales de saine gestion ici présentées pourront s’appliquer à différents produits ou secteurs d’activité, ou être mises en œuvre à l’échelle de l’entreprise par les assureurs IARD.
3 L’ARSF est en train d’élaborer une ligne directrice qui informera les assureurs automobiles quant aux exigences réglementaires et aux attentes de conformité concernant les déclarations réglementaires et la résolution des erreurs de tarification et de souscription.
4 Les pratiques de saine gestion du risque opérationnel énoncées dans la présente ligne directrice sont conformes aux pratiques promulguées par le Committee of Sponsoring Organizations (COSO) et par l’Organisation internationale de normalisation (ISO), ainsi qu’aux lignes directrices du Bureau du surintendant des institutions financières (BSIF) (à savoir la ligne directrice B-10). Les pratiques de gestion du risque de modélisation décrites à l’annexe 1 respectent les lignes directrices E-23 et E-25 du BSIF.
5 Objets de l’ARSF (voir l’article 3) : Autorité ontarienne de réglementation des services financiers (Loi de 2016 sur l'), L.O. 2016, chap. 37, annexe 8
6 Voir la règle relative aux APMM pour plus de détails : Actes ou pratiques malhonnêtes ou mensongers
7 La résilience opérationnelle peut être définie comme la capacité d’une institution financière à assurer ses opérations critiques en cas de perturbation. Voir le Comité de Bâle sur le contrôle bancaire, Principes de résilience opérationnelle, mars 2021
8 Comité de Bâle sur le contrôle bancaire, Révisions des principes de saine gestion du risque opérationnel, mars 2021
9 Un modèle s’entend généralement d’une méthode, d’un système et/ou d’une approche qui appliquent des techniques mathématiques/statistiques/actuarielles et des hypothèses théoriques et fondées sur un jugement expert (notamment des hypothèses actuarielles) pour traiter les données d’entrée afin de générer des estimations quantitatives.
10 Source de la définition : Property / Casualty Ratemaking (anglais seulement)

11 Exemples des principaux indicateurs de risque utilisés aux fins de la surveillance et du signalement des risques associés à la modélisation :

  • Le nombre de modèles évalués à risque résiduel élevé
  • Le nombre de modèles dont le rendement présente une détérioration significative
  • Le nombre de modèles réputés inadaptés aux fins prévues à l’issue de l’examen indépendant
  • Le nombre d’examens de modèle en retard
  • Le nombre d’erreurs de tarification et de souscription et leur incidence
  • Le nombre de signalements en retard d’erreurs de tarification et de souscription

12 Le responsable du modèle est l’unité ou la personne de première ligne chargée de choisir le modèle, d’en coordonner l’élaboration, de procéder à l’essai initial, d’en effectuer un suivi continu, d’en analyser les résultats et de gérer les changements et la documentation. Le responsable du modèle peut également être le concepteur du modèle, lequel est chargé de concevoir, de créer, d’évaluer et de documenter les modèles, ou l’utilisateur du modèle, lequel s’appuie sur les données de sortie du modèle pour prendre des décisions opérationnelles.
13 La « vérification » et la « validation » sont deux formes d’examen qui permettent d’établir le caractère approprié d’un modèle. Pour les différencier, précisons que la « vérification » sert à déterminer si un modèle est prêt à être mis en service, tandis que la « validation » sert à déterminer si un modèle en cours d’utilisation est toujours adapté.
14 Les pratiques devraient être adoptées conformément à un principe de proportionnalité, selon l’importance relative des modèles, ainsi que la taille et la complexité des activités de l’assureur. Dans le cas des petits assureurs ayant une faible exposition au risque opérationnel et/ou des modèles de faible importance, l’examen indépendant du modèle peut être réalisé par des pairs de la fonction de première ligne.
15 Par exemple, les décisions et les principaux renseignements liés à l’approbation et à la mise en œuvre des modèles doivent être documentés comme il se convient.
16 Différents intervenants (p. ex., les concepteurs de modèles, les examinateurs, les organismes de réglementation, les courtiers/agents, les consommateurs) peuvent avoir besoin de différents niveaux de détails sur un modèle AI/AM. Pour plus de détails, voir la section sur la transparence du rapport du Comité consultatif technique pour la stratégie d’analyse et de données en assurance-automobile de l’ARSF, intitulé Rapport sur le traitement équitable des consommateurs dans le cadre de l’utilisation de l’analyse des mégadonnées en assurance-automobile.