Réduire le fossé entre les activités opérationnelles et l'informatique dans le secteur de l'assurance grâce à la gestion des exigences

Si vous travaillez au sein d'équipes métier ou informatiques dans le secteur de l'assurance ou de la finance, vous avez peut-être déjà été confronté à ce problème : l'équipe métier demande une légère modification d'une règle de tarification ou de souscription, l'équipe informatique la met en œuvre, et quelques jours plus tard, le système de gestion des polices commence à se comporter différemment de ce qui était prévu.

Cet écart apparaît généralement lorsque les équipes commerciales discutent des produits, de la couverture et des déclarations, tandis que les équipes informatiques ont besoin d'une logique et d'un comportement du système précis. Ces « petits » décalages finissent par freiner la croissance et accroître les risques opérationnels.

Votre équipe n'est pas la seule à être confrontée à ces lacunes. Celles-ci sont courantes, comme en témoigne l'enquête d'Ovum, selon laquelle seuls 27 % des assureurs considèrent leurs projets comme une réussite.

Dans cet article, nous expliquons pourquoi ces lacunes persistent, quel en est le coût pour les assureurs et comment la gestion des exigences en matière d'assurance permet d'assurer la cohérence entre les services commerciaux et informatiques.

Le coût réel des lacunes entre les activités métier et l'informatique lors du développement de produits d'assurance

Chez Modern Requirements, notre équipe commerciale s'entretient chaque mois avec de nombreux assureurs, et 80 % d'entre eux sont confrontés au défi commun suivant :

• Les équipes métier et informatiques ont des définitions différentes de ce que signifie « terminé » : le principal défi réside dans le fait que ces équipes opèrent à des niveaux d'abstraction différents. Les équipes métier formulent leurs exigences en termes de résultats ; en revanche, les équipes informatiques ont besoin de user stories claires, assorties de critères d'acceptation, pour mettre en œuvre une fonctionnalité ou un changement. Lorsque ces termes de référence ne sont pas interprétés correctement, l'équipe informatique finit par mettre en œuvre quelque chose d'autre.
• Les validations se font sans vision commune : plusieurs assureurs nous ont indiqué que l'examen des modifications apportées à leurs produits s'effectue par e-mail ou via des tableurs. Comme les différentes équipes ne partagent pas la même vision, les validations se poursuivent sans qu'il y ait une compréhension commune et consensuelle des règles, des interdépendances et des répercussions en aval.
• Risques liés à la conformité réglementaire : les équipes chargées de la conformité définissent les règles à respecter, mais lorsque ces règles ne font pas l'objet d'une discussion approfondie avec les équipes informatiques ou ne sont pas traduites en tâches concrètes, le produit final ne répond jamais aux normes réglementaires telles que DORA.
• Manque de traçabilité lors des audits et des déclarations : les équipes ont du mal à déterminer qui a proposé et mis en œuvre la fonctionnalité, si les règles de conformité sont respectées et comment les tests sont effectués lors de la préparation des rapports d'audit.
• La confiance s'érode entre les équipes : lorsqu'il existe un décalage dans la compréhension des exigences, un problème de confiance surgit entre les deux équipes. Les équipes métier peuvent avoir l'impression que le service informatique n'a pas pris en compte certaines exigences, tandis que les équipes informatiques peuvent estimer que ces exigences n'ont jamais été clairement définies.

Le coût réel de ces difficultés ne se limite pas aux retards dans les projets ; il va bien au-delà. À long terme, ces difficultés entraînent des retouches, augmentent les coûts de livraison et ralentissent la mise sur le marché. Dans certains cas, les assureurs peuvent être amenés à payer de lourdes pénalités aux organismes de réglementation pour non-respect de la conformité.

Exemple concret : quand un décalage entre les exigences et la réalité se traduit par une perte financière

Un exemple bien connu est celui de l'échec du projet de système central de souscription chez Co-operative Insurance au Royaume-Uni. IBM avait été chargée de fournir la plateforme, mais le projet a échoué après des années de retards et de résultats inférieurs aux attentes. Le tribunal a par la suite estimé que des défaillances en matière de contrôle du périmètre, de gouvernance et de coordination de la mise en œuvre avaient entraîné des pertes dépassant les 80 millions de livres sterling.

Ces résultats ne sont pas rares. Ils sont la conséquence prévisible d'un manque de rigueur dans la définition des exigences dans des environnements d'assurance complexes.

Comment la gestion des exigences peut combler ce chaînon manquant entre les activités métier et l'informatique

Lorsque les équipes du secteur de l'assurance suivent un processus rigoureux de gestion des exigences, les équipes métier et informatiques cessent de se fier à des interprétations et s'appuient désormais sur des exigences communes et consignées par écrit qui guident les décisions, de la validation jusqu'à la mise en production. De plus, la gestion des exigences dans le secteur de l'assurance transforme radicalement le mode de fonctionnement des équipes concernées ; nous en avons répertorié quelques avantages ci-dessous :

• Une vision commune des fonctionnalités du produit : les équipes métier et informatiques disposent ainsi d'une source d'information unique concernant les exigences. Elles peuvent donc s'appuyer sur des faits concrets plutôt que sur des opinions.
• Autorisations pertinentes : En général, l'examen et la validation des exigences se font en vase clos. Il peut donc arriver que différentes équipes aient accès à des versions différentes des exigences. Cependant, grâce à un processus de gestion des exigences bien rodé, les équipes peuvent examiner les exigences de manière collaborative. Chaque membre de l'équipe peut consulter la dernière version, suivre les modifications apportées et identifier qui les a effectuées, puis valider les exigences.
  • Visibilité précoce des répercussions : une modification mineure apportée à une seule exigence peut avoir des répercussions sur plusieurs autres exigences et entraîner des retouches ou des bogues dans les systèmes informatiques. Cependant, grâce à la gestion des exigences, les équipes peuvent identifier les dépendances et en comprendre les effets avant même que le développement ne commence.
  • Conformité prête à l'emploi : les directives réglementaires expliquent les règles à respecter, mais ne fournissent pas de liste de contrôle pour la mise en œuvre. Les équipes produit peuvent les traduire en une liste de contrôle de mise en œuvre et en critères d'acceptation, puis les examiner en collaboration avec les équipes chargées de la conformité avant de les transmettre aux équipes informatiques pour le développement. Cela garantit que le produit est conforme aux normes du secteur et que les exigences réglementaires sont prises en compte dans le système.
  • Gestion contrôlée des modifications : les logiciels informatiques du secteur de l'assurance évoluent en permanence. Les équipes peuvent être amenées à apporter des modifications en fonction de nouvelles exigences de conformité ou des retours des utilisateurs. Lorsque les exigences sont gérées de manière centralisée, les modifications sont suivies avec un historique et une justification. Les équipes savent ce qui a changé, pourquoi cela a changé et ce qui doit être testé à nouveau. On évite ainsi les dérives au fil des trimestres.
• Une documentation structurée, et non des enregistrements a posteriori : la gestion des exigences pour les institutions financières encourage les équipes chargées des assurances à tout documenter dès le début, plutôt que de se précipiter après la livraison. Elle rassemble en un seul endroit les règles métier, les hypothèses, les validations et les modifications. Cela crée une référence fiable qui résiste aux changements d'équipe, aux transferts de fournisseurs et aux longs cycles de livraison.

Pour les assureurs, la gestion des exigences devient le levier qui permet d'assurer la cohérence entre les objectifs, les systèmes et la conformité.

Des cas concrets où la gestion des exigences comble le fossé

Mise à jour du modèle interne Solvabilité II

Imaginons que l'assureur mette à jour son modèle interne avant un contrôle prudentiel dans le cadre de Solvabilité II. D'un autre côté, les équipes actuarielles révisent également leurs hypothèses, mais les systèmes informatiques continuent d'appliquer d'anciennes règles de traitement des données pour la tarification et le reporting.

Toutefois, grâce à une gestion adéquate des exigences, chaque hypothèse peut être consignée sous forme d'exigence et reliée à des sources de données, des calculs, des documents et des tests. De plus, les équipes informatiques mettent toujours en œuvre des exigences actualisées et approuvées, ce qui réduit les allers-retours. Lors de la révision ou de l'audit, l'assureur peut démontrer que les systèmes ont été conçus dans le respect de la conformité.

Résilience et préparation aux incidents grâce à DORA

Un assureur européen se prépare à se conformer à la directive DORA et doit démontrer la résilience de ses systèmes informatiques pour ses plateformes de souscription et de gestion des sinistres. En l'absence d'exigences structurées, les tests de résilience, les procédures en cas d'incident et les contrôles des tiers sont dispersés.

La gestion des exigences pour les produits d'assurance relie les obligations DORA aux scénarios système, aux résultats des tests et aux accords de niveau de service (SLA) des fournisseurs. Lorsque les auditeurs demandent comment les services critiques sont protégés et testés, les équipes peuvent répondre en fournissant des preuves traçables plutôt que des explications manuelles.

Comment un logiciel de gestion des exigences tel que Modern Requirements comble le fossé entre les besoins métier et l'informatique dans le secteur de l'assurance

Modern Requirements4DevOps est un outil de gestion des exigences conçu pour les secteurs fortement réglementés, tels que l'assurance et la finance, où les systèmes logiciels doivent se conformer à des normes telles que NAIC, OSFI, EIOPA/Solvabilité II, DORA, SOC 2 et PCI DSS. Pour ce faire, il transforme Azure DevOps en un référentiel dynamique et connecté où chaque exigence, test, risque et révision est regroupé en un seul et même endroit.

Comme Modern Requirements4DevOps s'intègre directement à votre espace de travail Azure DevOps, les équipes disposent d'une source unique et fiable pour les exigences et les preuves de conformité. Les équipes chargées des assurances n'ont plus besoin de rechercher des documents ou des validations éparpillés dans leurs e-mails. Elles trouvent désormais tout ce dont elles ont besoin au même endroit.

De plus, Modern Requirements4DevOps permet aux équipes de créer des matrices de traçabilité en un seul clic. Grâce à cet outil, les équipes peuvent visualiser clairement comment les exigences de conformité, telles que le contrôle DORA, sont réellement liées aux user stories, aux cas de test, aux fiches de risque ou aux tâches de déploiement, et repérer rapidement les liens ou les exigences manquants. Lors d'audits ou d'examens DOI, les assureurs peuvent générer instantanément des preuves de conformité et des matrices de traçabilité, sans avoir à les reconstituer manuellement.

De plus, les fonctionnalités d'IA de MR4DevOps apportent une valeur ajoutée supplémentaire aux assureurs. Grâce à Copilot4DevOps, les équipes peuvent instantanément rédiger des ébauches d'exigences à partir de comptes-rendus de réunion, convertir des exigences brutes en user stories, générer des diagrammes ou des documents d'exigences, rédiger du pseudocode ou des cas de test, etc. Cet outil permet également d'évaluer l'impact des changements à l'aide de l'IA.

Enfin, le module intégré de gestion des révisions permet aux équipes de différents services de réviser et d'approuver les exigences de manière collaborative. Ainsi, les équipes métier, informatiques, actuarielles et de conformité travaillent toutes à partir du même document approuvé.

De plus, la fonctionnalité de contrôle de version de MR permet de suivre chaque modification apportée aux exigences.

Modern Requirements4DevOps transforme les exigences, qui ne sont plus une simple liste de contrôle ponctuelle, en un processus structuré, contrôlé et automatisé, adapté aux réalités de la prestation de services d'assurance.