« Les organisations traitant de grands volumes de données sensibles ont besoin de contrôles de sécurité, de confidentialité et de conformité de haute qualité ainsi que d’attestations périodiques de leur efficacité. » Entretien avec Martino Braico, Senior Manager des fonds de pension et des portefeuilles d’assurance de la société italienne Previnet. Au départ, il était quelque peu réticent à la proposition de lancer le reporting SOC, car il craignait qu’un auditeur externe ne remette en question l’ensemble du modèle opérationnel de Previnet. Mais la confiance émanant de BDO l’a convaincu.
Quelle est l’activité principale de Previnet ?
Martino Braico : « Au fil des ans, nous avons réussi à réduire la complexité de la gestion, c’est-à-dire l’administration de a à z, des fonds de pension et des portefeuilles d’assurance dans différentes juridictions et différents pays. Pour ce faire, nous proposons une série de services d’externalisation et de solutions technologiques. Nous sommes d’ailleurs l’un des rares prestataires à soutenir les IORP (Institutions for Occupational Retirement Provision) et les régimes de retraite transfrontaliers. Grâce à nos experts technologiques internes, nous élaborons des solutions informatiques ciblées à cet effet, que nous mettons également en œuvre nous-mêmes chez nos clients. »
Comment pouvez-vous être conforme dans autant de pays à la fois, présentant tous leurs exigences spécifiques ?
Martino : « Nous avons construit un réseau de consultants locaux dans les 10 pays où nous opérons aujourd’hui. Grâce à un cadre technologique unique et à un réseau local très ramifié dans chaque pays, nous pouvons offrir à nos clients des services et des solutions sur mesure, entièrement conformes aux réglementations et aux exigences nationales. Aujourd’hui, nous sommes déjà forts dans notre patrie, l’Italie, et dans une grande partie de l’Europe, mais notre ambition est de nous étendre dans encore plus de pays. »
Cela rend la problématique des exigences et des réglementations encore plus complexe et plus longue ?
Martino : « En effet. Voilà pourquoi nous avons commencé à établir des rapports SOC 1 et SOC 2 pour notre entreprise et nos services. Les rapports SOC (Service Organisation Controls) sont des cadres établis par l’American Institute of Certified Public Accounts (AICPA) pour rendre compte des contrôles internes au sein d’une organisation. En particulier, nous recherchions une évaluation impartiale et externe (avec confirmation éventuelle) de la solidité de nos processus d’entreprise, de notre cadre informatique et de sécurité et de notre gouvernance. »
Quelle est l’importance des rapports SOC ?
Martino : « Ces rapports sont essentiels pour gérer et contrôler la sécurité de nos processus administratifs et de nos bases de données. Nous avons presque constamment des auditeurs sur le terrain, dans lesquels nous investissons beaucoup de temps et de ressources. Jusqu’à ce que BDO suggère d’anticiper tous ces contrôles et tests de validation. Nous n’étions pas très enthousiastes à l’idée, mais BDO connaît très bien le secteur des pensions et leur communication ouverte a toujours été productive. Nous avons donc rajouté des éléments, et avec succès. Malgré l’effort considérable que nous devons consentir chaque année pour obtenir les certificats, le gain de temps est énorme. Les différents auditeurs qui viennent encore maintenant ne doivent pas refaire tous les contrôles que nous avons déjà réalisés avec BDO. Cela nous permet d’économiser beaucoup plus de temps et de ressources que nous n’en investissons nous-mêmes. »
Y a-t-il d’autres avantages ?
Martino : « En particulier, le SOC 2 a été utile pour formaliser un ensemble d’informations qui étaient claires pour tout le monde chez Previnet, mais qui n’étaient pas encore documentées de la bonne manière. Pensez à nos valeurs, notre code de conduite, nos objectifs, nos politiques, etc. qui sont ainsi devenus très tangibles. »
On ne s’ennuie donc jamais dans le secteur des assurances ?
Martino : « Contrairement à la croyance populaire, ce n’est pas un environnement ennuyeux. Je travaille dans ce secteur depuis plus de 25 ans maintenant et j’apprends encore à chaque audit ou réunion avec un client. Cela me permet de garder la motivation ! »
Vous voulez plus d’informations sur les rapports SOC ? Ou sur ce que vous devez faire pour obtenir les certificats ?
Contactez Christophe Daems, Partner Risk Advisory chez BDO Belgique. Il se fera un plaisir de vous aider.