 |
http://www.rims.org/ifrima site developed by Information, Inc.; content and graphics © copyright IFRIMA and Information, Inc. |
Organisé par :
The World Information Technology Services Alliance (WITSA)
et
The Information Technology Association of America (ITAA)
| The International Trade Center | William J. Kelly | |
| 1300 Pennsylvania Ave N.W. | Managing Director | |
| Washington, DC | J.P. Morgan | |
| 23 Wall Street | ||
| 17 octobre 2000 | New York, NY |
WILLIAM J. KELLY
William J. Kelly est Managing Director de J.P. Morgan, une importante société mondiale de services financiers dont le siège est situé à New York. Il est responsable, entre autres, de la gestion de l'assurance et des risques d'entreprise, ainsi que de divers autres domaines liés aux ressources d'entreprise, dont les achats d'entreprise. Avant d'entrer à J.P. Morgan, il y a quinze ans, M. Kelly était Directeur de la Gestion des risques et de l'assurance chez Merrill Lynch.
M. Kelly est ex-président de l'International Federation of Risk and Insurance Management Associations* (IFRIMA), une fédération mondiale regroupant 30 associations nationales et régionales qui représentent plus de 20 pays. En 1995-96, il a été président de la Risk and Insurance Management Society (RIMS), la plus vaste organisation du monde comptant 4 500 sociétés membres aux Etats-Unis et au Canada, et 8 000 membres à titre individuel parmi les employés de ces sociétés. M. Kelly est membre du Conseil consultatif sur la gestion des risques de l'Allianz Insurance Company et membre du Conseil consultatif des comptes nationaux de l'AIG. Il est ex-administrateur de la Spencer Educational Foundation et a siégé au Conseil exécutif de la gestion des risques de la Protection Mutual Insurance Company. M. Kelly a été président du Comité des assurances de l'American Bankers Association (ABA), président de la Conférence nationale sur la sécurité et la gestion des risques de l'ABA en 1993, et co-président du Forum sur la gestion des risques tenu à Monte-Carlo en 1995. Il a également été membre fondateur du conseil du Global Risk Management Institute chargé de l'administration de la désignation Fellow in Risk Management. En 1995, il a reçu le prix Matthew Lenz pour la gestion des risques octroyé par la section new-yorkaise du CPCU. M. Kelly s'exprime fréquemment dans divers forums à travers le monde et a publié de nombreux articles sur divers sujets, bon nombre d'entre eux sont disponibles dans leur forme d'origine, sur le site Web de l'IFRIMA, sous la rubrique " Articles and Papers ".
La carrière de M. Kelly dans l'assurance a débuté en 1972 à l'INA où il était assureur. Il a ensuite occupé les fonctions de dirigeant à la Chase Manhattan Bank, et de vice-président de Bankers Trust Company.
M. Kelly est titulaire d'un B.A. en littérature anglaise de Fordham University à New York et d'une maîtrise en administration des affaires (MBA) de la Fordham Graduate School of Business à Lincoln Center.
Bonjour.
Commerce électronique, risques électroniques, perplexités électroniques. J'ai choisi ce titre qui témoigne, en partie, de l'excitation et de l'hystérie qui accompagnent les discussions sur le commerce électronique. Mon objectif est de m'élever au-delà du brouhaha et de porter sur les questions véritablement cruciales. Car, comme dirait Marx ... et je me réfère à Groucho Marx, derrière la fausse hystérie, il y a motif pour une véritable hystérie.
Avant d'entamer cette analyse, je désire souligner les liens initiaux de J.P. Morgan avec l'innovation électronique, ces liens remontant effectivement à la première installation commerciale et résidentielle de l'éclairage électrique. J.P. Morgan lui-même soutenait sans réserve Thomas Edison qui est devenu client de la société. A la fin des années 1880, Morgan a aidé à constituer Edison Electric Illuminating Company avec un capital-actions d'un million de dollars de manière à ce qu'elle puisse construire une centrale électrique sur Pearl Street, à la pointe sud de Manhattan. Deux ans plus tard, 106 lampes électriques étaient allumées à notre siège, au 23 Wall Street.
L'arrivée de l'électricité à la demeure de J.P. Morgan au 219 Madison Avenue avait commencé sous un jour moins favorable ; peut-être faut-il y voir un présage des relations futures entre les consommateurs et les entreprises de services publics. La génératrice située sous les étables produisait apparemment tellement de bruit et de fumée qu'elle importunait tout le quartier.
Il a fallu à M. Morgan quatre semaines et un appel personnel au président d'Edison Electric pour obtenir qu'une équipe vienne placer des supports en caoutchouc sous le moteur, revête le boîtier de feutre et creuse une tranchée à travers la cour pour éloigner la fumée et la vapeur. Quelques années après, vers la fin des années 1880, Edison possédait 200 centrales électriques et 1500 installations isolées en service à travers les Etats-Unis. J.P. Morgan n'avait plus besoin d'une génératrice privée car 219 Madison Avenue était dorénavant branché sur les circuits de la compagnie d'électricité.
Beaucoup d'autres sessions de cette conférence traitent des questions générales de gestion des risques concernant la sécurité de l'information. La présente session est axée sur les aspects juridiques et assurables de ces risques, et mes commentaires porteront plus particulièrement sur l'assurance.
Vous n'êtes pas des professionnels de l'assurance et je présume que l'assurance n'est pas un sujet qui vous passionne beaucoup. Je ne sèmerai donc pas la confusion et l'ennui en vous montrant des tableaux et des schémas comparant l'éventail d'options offertes en matière d'assurance du commerce électronique, ces options étant elles-mêmes en voie de développement. Je veux, toutefois, vous indiquer quelques principes directeurs sur la base desquels vous pourrez étudier toute proposition d'assurance qui vous sera faite. Ces principes se ramènent essentiellement à trois questions de base : pourquoi ? comment ? et quand ?
Les assureurs aussi bien que les courtiers voient une occasion de vente en des risques nouveaux ou sensiblement accrus. Ils y voient la possibilité de concevoir des produits pour prendre en charge globalement ces risques nouveaux ou accrus, bref, la possibilité de vendre de nouveaux produits. Tout comme en technologie, la vente de nouveaux produits est plus rentable que la modification d'anciens produits, à savoir, agir comme consultants sur la façon dont on pourrait modifier, au besoin, les polices d'assurance existantes dans le but de les adapter à des risques changeants. Étant donné que les assureurs et les courtiers mettent au point des produits entièrement nouveaux dans le but de répondre globalement à une suite changeante de circonstances, ces produits comprennent souvent des couvertures qui sont déjà disponibles et, en fait, déjà souscrites par de nombreux assurés.
Ceci nous amène à notre première question : pourquoi ? Pourquoi devriez-vous acheter un nouveau contrat d'assurance qui comprend des couvertures que vous avez déjà ? Pour citer le célèbre présentateur de radio et de télévision Edward Murrow : " Le fait que les paroles d'une personne puissent maintenant être entendues instantanément de l'autre côté du monde ne signifie pas que son message soit plus important que lorsqu'il pouvait être entendu de l'autre côté du bar ".
Le fait qu'un employé puisse commettre un acte malhonnête en utilisant le Web, plutôt qu'un journal comptable ou un boulier-compteur, ne change pas la nature de l'acte. La couverture d'assurance sur la malhonnêteté des employés, qui existe depuis une centaine d'années, continue à s'appliquer. De même, il existe depuis longtemps une couverture d'assurance pour libelle, diffamation et responsabilité pour publicité mensongère. Il est indubitable que ces risques augmentent de façon exponentielle avec le commerce électronique, mais ils demeurent l'objet de la couverture qui pourrait être modifiée, au besoin.
Au-delà de ces risques génériques, une couverture est également offerte, depuis de nombreuses années, pour les risques particulièrement liés aux ordinateurs. La couverture qui s'applique à la perte de revenus résultant d'une interruption commerciale causée, notamment, par un incendie a été étendue il y a quelques années de manière à inclure l'interruption des affaires causée par un virus informatique. La couverture pour les crimes informatiques et la perte financière découlant de l'accès non autorisé à un système est en place depuis environ 25 ans.
Le crime informatique constitue un bon exemple de ce qui se produit dans l'industrie des assurances lors de l'identification d'un nouveau risque. La façon dont un risque nouvellement perçu est traité peut aller depuis l'anathème jusqu'à l'ennui. Lorsqu'on découvre un nouveau risque, les assureurs s'empressent souvent de l'exclure : " on ne peut couvrir ceci ... on ne couvrira pas cela ... on doit exclure l'enlèvement, l'extorsion, les pratiques en matière d'emploi, la loi sur la sécurité des revenus de retraite des employés (ERISA), la responsabilité en matière d'environnement ... " et la liste continue.
Un assureur intelligent en vient donc à conclure qu'on pourrait offrir cette couverture comme police distincte moyennant une prime élevée. Il est d'abord le seul à l'offrir, puis le reste du marché le rattrape et l'offre augmente. Le contrat distinct finit par être intégré à des polices pré-existantes en option. Puis, un beau jour, un courtier se présente et affirme que la couverture peut dorénavant être incluse avec un crédit de prime.
Dans le cas présent, nous nous intéressons au fait que certaines couvertures comprises dans les programmes d'assurance électronique sont déjà souscrites par les clients, et nous posons la question : " pourquoi alors devrions-nous acheter une assurance qui fait double emploi ? " Vous pourriez également demander : " quel mal y a-t-il à avoir une couverture supplémentaire ? "
Le problème est que en plus de payer à nouveau pour quelque chose que vous avez déjà, vous ne vous contentez pas d'obtenir une couverture supplémentaire, vous créez un conflit. Essentiellement chaque contrat d'assurance contient une disposition intitulée " Autre assurance ". Cette disposition régit la façon dont la police s'appliquera à un sinistre si vous êtes titulaire d'une autre assurance qui s'applique également. Comme vous pouvez vous en douter, la police dit : " si vous avez une autre assurance, allez percevoir l'indemnité payable en vertu de cette autre assurance et revenez nous voir lorsque vous aurez entièrement épuisé l'ensemble de l'" autre assurance " disponible ". Cependant, comme l'autre police contient exactement la même disposition sur l'" autre assurance ", plutôt que d'avoir une assurance supplémentaire, vous vous retrouvez sans aucune assurance tandis que chaque assureur désigne l'" autre " du doigt.
Bien que vous puissiez finir par obtenir, par négociation ou devant les tribunaux, un partage proportionnel du sinistre entre les assureurs ou l'application en premier lieu de la couverture qui est plus spécifique, et donc primaire, vous n'avez vraiment pas besoin de ces ennuis ni du retard qui en découlera pour le paiement de la réclamation.
En résumé, la première question à poser est donc de savoir dans quelle mesure le programme d'assurance du commerce électronique reproduit les assurances existantes. Et, dans l'affirmative, pourquoi doit-on acheter les couvertures en double s'il existe un potentiel de créer un conflit d'" autre assurance " ?
En toute honnêteté, bon nombre de petites et de moyennes entreprises peuvent ne pas avoir souscrit des couvertures sur le crime informatique et autres couvertures plus complexes. Elles présenteraient donc un potentiel moindre de duplication de couverture. Toutefois, pratiquement chaque entreprise aura une assurance de base pour les dommages personnels en relation avec le libelle et la diffamation, etc.
Ceci nous amène à notre seconde question : quand ? C'est ce que j'appelle le problème du courtier optimiste. Lorsqu'un courtier d'assurance nous montre un formulaire de police d'assurance et indique une liste d'assureurs comme souscripteurs, nous pourrions en déduire que toutes ces couvertures comprises dans la police sont offertes par les assureurs mentionnés. C'est vrai dans certains cas, mais il faut savoir qu'on nous présente parfois les aspirations du courtier, c'est-à-dire que les couvertures comprises dans le formulaire de police correspondent à ce que le courtier aimerait vraiment pouvoir vendre. Les assureurs mentionnés sont les compagnies que le courtier aimerait vraiment voir souscrire cette assurance. Et si vous voulez vraiment, vraiment l'acheter, vous pourriez peut-être même obtenir une partie de la couverture indiquée dans le formulaire de police. Par conséquent, en étudiant la couverture recommandée par un courtier " optimiste " , il convient de demander quand et auprès de qui la couverture décrite sera effectivement disponible.
En pratique, les assureurs indiqués peuvent souscrire le formulaire de police proposé, mais avec un grand nombre d'exclusions supplémentaires. Ces exclusions s'appliquent souvent aux couvertures les plus innovatrices, et potentiellement importantes, comprises dans le formulaire de police, telles que l'interruption des affaires causée par une défaillance de logiciel et de matériel, ainsi que les sinistres subis par l'assuré lui-même en raison de ses propres erreurs.
En ce qui concerne les exclusions d'un contrat d'assurance, " non " peut parfois signifier " oui " ; il y a trois types différents d'exclusions, et assez peu d'exclusions absolues. La guerre nucléaire figure en tête de liste des exclusions que vous n'allez vraiment pas éliminer. Mais on peut éliminer moyennant un prix, c'est à dire racheter, un second type d'exclusion. Un troisième type d'exclusions de la police n'y figure que parce que vous avez une couverture en vertu d'une autre police et que l'assureur tente d'éviter un conflit du type " autre assurance ".
Il y a une autre façon dont la couverture est hypothétiquement offerte par les courtiers aussi bien que par les assureurs, de manière formelle plutôt que substantielle. Ainsi, certains programmes d'assurance comprennent une couverture pour des éléments tels que la perte de propriété intellectuelle et de secrets commerciaux. Ces dispositions sont, en fait, insérées dans le formulaire de police. La seule question est : comment ? Comment cette couverture fonctionne-t-elle ? Qu'est-ce qui est couvert en tant que propriété intellectuelle ou secrets commerciaux et, en cas de vol, comment la perte sera-t-elle évaluée ?
La question de l'évaluation ou la manière de quantifier un sinistre est plus problématique lorsque on couvre ses propres pertes plutôt que celles d'une tierce partie, et il importe de comprendre la différence entre ces deux types différents d'assurance. Dans le dernier cas, nous lésons quelqu'un d'autre, que ce soit financièrement, physiquement ou en endommageant ses biens. La question de l'évaluation est moins difficile parce que la partie lésée nous fait habituellement savoir le montant exact qu'elle exige en fait de réparation. Cependant, si l'assurance est censée protéger contre les propres pertes, lorsque nous subissons une perte de quelque chose d'aussi incorporel, complexe et dynamique que la propriété intellectuelle ou un secret commercial, il est très difficile de quantifier le sinistre. En fait, étant donné le taux exponentiel des progrès technologiques, la propriété intellectuelle très précieuse d'aujourd'hui peut avoir perdu toute sa valeur demain.
L'inclusion d'une telle couverture dans une police est un peu comme si je vous donnais une police d'assurance vie sans indiquer une limite de temps. Lorsqu'on vous propose une assurance sur la propriété intellectuelle et les secrets commerciaux, demandez comment la couverture fonctionne et comment la perte sera quantifiée. Les offres que j'ai vues vous référeront à un supplément de police qui, malheureusement, n'a pas encore été écrit.
Mark Twain a dit que la musique de Wagner est supérieure à ce qu'elle ne semble. Bon nombre d'offres d'assurance peuvent aussi donner une impression supérieure à la réalité.
Vous devriez être préparé à entendre un autre argument de vendeur qui a trait à : pourquoi ? Cet argument fait souvent partie intégrante de la promotion d'encore un autre type de police d'assurance conçu pour prendre en charge globalement un risque supplémentaire nouvellement perçu, etc.
Cet argument repose sur le principe que vous êtes en meilleure position si vous avez une police d'assurances qui prévoit explicitement qu'elle couvre une circonstance particulière, plutôt qu'une police qui ne la mentionne pas. Dans le cas de l'assurance du commerce électronique, par exemple, le vendeur pourrait dire que peut-être, vous pensez être couvert sur la malhonnêteté des employés, le crime informatique, le libelle, la diffamation, la responsabilité pour publicité mensongère et les nombreux autres risques dont nous avons parlé, mais votre police ne prévoit pas explicitement qu'elle couvre ces risques à l'égard du commerce électronique. Ne seriez-vous pas plus rassuré si vous achetiez notre nouvelle police sur le commerce électronique qui prévoit explicitement une telle couverture ? Non, pas nécessairement, parce qu'en prévoyant explicitement une couverture, l'assureur définit habituellement (et par là limite) la manière dont la couverture est offerte.
Je suis convaincu que tous les membres de l'assistance ont une police d'assurance vie. Je serais prêt à gager qu'aucune des polices auxquelles nous souscrivons ne couvre explicitement la mort si on est renversé par un autobus. Ne serions-nous pas plus rassurés si nos polices couvraient explicitement cette éventualité, plutôt que de passer sous silence cette possibilité très réelle. En couvrant " explicitement " ce risque déjà couvert, un assureur définirait habituellement la manière dont s'applique cette couverture, en disant, peut-être, que la " disposition autobus " n'est applicable que si on peut démontrer que vous traversiez la rue légalement. Tout compte fait, la couverture explicitement incluse peut être plus limitée et, ironiquement, souvent plus coûteuse que la couverture générique déjà en place.
Ce même argument a été soulevé récemment à l'égard du problème 2YK, lorsqu'une nouvelle forme d'assurance pour la responsabilité des administrateurs et dirigeants a été offerte sur la base de sa couverture " explicite " de la responsabilité Y2K. Comme dans l'exemple ci-dessus, elle définissait également la manière dont la couverture s'appliquerait, une manière qui, de l'avis d'un grand nombre, était éventuellement plus limitée que la couverture déjà fournie automatiquement sur les polices existantes à une somme moindre.
Le commerce électronique augmente sensiblement différents risques. Le Web crée un très grand potentiel de responsabilité pour la violation de l'intimité du client. Le fait qu'on se fie de plus en plus au commerce électronique augmente grandement l'exposition au sinistre qui découlera d'une interruption des affaires ou d'un accès refusé, pour lesquels, en dépit des déclarations à l'effet contraire, la couverture d'assurance disponible demeure très limitée. Si vous ne retenez rien d'autre de la discussion, veuillez garder ces trois questions à l'esprit lorsque des offres d'assurance vous sont faites :
J'ai débuté cette présentation en traitant de l'importance de la relation entre Thomas Edison et J.P. Morgan. Je concluerai par une autre anecdote qui m'apparaît particulièrement intéressante à un moment où les véhicules automobiles sont attaqués pour des motifs liés à l'environnement. Un soir, en 1896, Thomas Edison rencontra un jeune ingénieur de la Detroit Motor Company, Henry Ford. A l'époque, la plupart des gens étaient d'avis que l'avenir était aux voitures électriques. Cependant, Ford confia à Edison son projet d'un moteur à combustion interne et Edison offrit un appui enthousiaste. Ford n'oublia jamais cet appui initial.
Des années plus tard, en 1929, pour célébrer cinquante ans de lumière incandescente, Ford construisit un musée des oeuvres d'Edison et offrit un dîner. Parmi les invités il y avait le président et Madame Calvin Coolidge, Madame Curie, le pionnier de l'aviation Orville Wright, les premiers employés d'Edison encore en vie, et Jack Morgan, le fils de J.P. Morgan.
J.P. Morgan aussi bien que la Chase ont toujours été prêtes à investir les ressources nécessaires pour transformer les concepts innovateurs en réalités commerciales. Lors de la constitution de la firme J.P. Morgan Chase, cet engagement se poursuivra et les idées innovatrices seront bienvenues.
Merci.
Bibliographie
Morgan, American Financier par Jean Strouse, Random House, 1999
The House of Morgan par Ron Chernow, Atlantic Monthly Press, 1990
|
http://www.rims.org/ifrima site developed by Information, Inc.; content and graphics © copyright IFRIMA and Information, Inc. |