BCBS 239 [Veille réglementaire]

BCBS 239 [Veille réglementaire]

I.    Description & Objectifs de la réglementation BCBS 239

Suite à la crise financière de 2007, les Superviseurs Bancaires ont observé que l’amélioration des processus d’agrégation des données risques ainsi que les pratiques de production des reporting risques restaient un véritable challenge pour les banques, en particuliers les banques européennes « systémiques » (au nombre de 29 en novembre 2013).

Dans ce cadre, le groupe de travail sur la surveillance des établissements bancaires a proposé des principes visant à:

•    Renforcer la capacité des banques à consolider leurs données risques
•    Améliorer leurs pratiques internes de reporting risques.

14 principes regroupés en 4 thèmes ont ainsi été produits par le BCBS en janvier 2013 : 11 de ces principes concernent les banques systémiques, les 3 autres étant à destination des autorités de contrôle.

II.    Périmètre d’application, Exceptions, Cadre réglementaire proposé, Principales Mesures et Obligations de BCBS 239

a)    Établissements

•    GSIB (Global Systematically Important Banks)

b)    Périmètre d’application

•    Risque de Crédit
•    Risque de Marché
•    Risque de Liquidité
•    Risque Opérationnel

c)    Organisation

•    Groupe bancaire éligible
•    Filiales bancaires éligibles

III.    Dates clefs, Eléments de calendrier de BCBS 239

•    Novembre 2012: Définition de la BCBS 239
•    Janvier 2013: Publication de la régulation
•    Janvier 2016: Entrée en application de la BCBS 239 pour les G-SIBS (Global Systemically Importants Banks)
•    Janvier 2019: Entrée en application de la BCBS 239 pour les D-SIBS (Domestic systemically Importants Banks)

IV.    Principaux acteurs financiers et processus bancaires impactés par BCBS 239

a)    Principaux acteurs financiers

4 G-SIBS (Global Systemically Importants Banks) en France sont impactés par la BCBS239:

  • BNP Paribas
  • Credit Agricole
  • BPCE
  • Société Générale

b)    Processus bancaires impactés

GOUVERNANCE & INFRASTRUCTURE

> Gouvernance

• Le comité de direction et Management valident et suivent activement la mise en place d’une structure cohérente d’agrégation des données et de reporting ainsi que des niveaux d’exigences et de services standards.
• Ils doivent s’assurer de la mise à disposition des ressources adéquates.
• Les évolutions en la matière doivent être intégrées dans la stratégie informatique du Groupe.

> Architecture des données et SI

• Une architecture des données et des SI résiliente est définie et fait partie du PCA de la banque.
• Une taxonomie des données incluant les metadonnées est définie et appliquée à l’ensemble du groupe.
• Les rôles et responsabilités en termes de propriété et qualité des données sont établis et donnent lieu aux contrôles adéquats tout au long du cycle de vie de la donnée.
Capacités d’agrégation des données risques

CAPACITE D’AGREGATION DES DONNEES RISQUES

> Exactitude et intégrité

• L’agrégation des données est réalisée de manière fiable, précise et cohérente. Les processus doivent être automatisés au maximum et documentés.
• Le niveau d’exigences des contrôles (y compris les rapprochements) applicable aux données risques est aussi élevé que pour les données comptables. La qualité des données (QD) est mesurée et pilotée.

> Complétude

• La collecte des données risques couvre l’ensemble de l’organisation de la banque.
• L’information est disponible au niveau de maille organisationnelle adéquat (BL, entité juridique, classe d’actif, région (etc.). La complétude de la collecte est mesurée et pilotée.

> Des délais appropriés

• Les délais de collecte et d’agrégation des données à jour sont précisément définis et respectés.
• Ces délais pourront être raccourcis pour les risques les plus critiques et en période de crise.

> Adaptabilité
• Les systèmes doivent être flexibles pour être en mesure de fournir des reportings ad hoc (scénarios d’analyse en cas de crise par exemple), à la demande (du régulateur par exemple), et de s’adapter à des évolutions structurelles internes.
Pratiques de reporting des risques.

PRATIQUES DE REPORTING DES RISQUES

> Précision

• Les prises de décision du comité de direction et du Management en matière de risques s’appuient sur des états précis et pertinents. La fiabilité des hypothèses sous-jacentes (modèles, scenarii, etc.) est maîtrisée.

> Exhaustivité

• L’ensemble des typologies de risques est correctement reporté en fonction de la taille, organisation et profil de risques de la banque.
• Une vision actuelle et prospective des expositions ainsi que les actions correctives sont communiquées.

> Clarté et exploitabilité

• Les rapports de gestion des risques sont suffisamment clairs, concis et pertinents pour permettre à chaque niveau de management une prise de décision éclairée.

> Fréquence

• Le comité de direction et senior management définissent et revoient régulièrement la fréquence et le délai de production des reportings risques. Les reports les plus critiques doivent être disponibles dans des délais très courts, voire en temps réel

> Distribution

• Les rapports de gestion des risques doivent être distribués aux destinataires appropriés dans les délais impartis, tout en respectant la confidentialité.

VI.    Messages clefs et updates de BCBS 239

a)    Renforcement du processus de prise de décision

•    Améliorer la qualité des outils de reporting, notamment ceux à destination du conseil d’administration et de la direction générale permettant de suivre et piloter les indicateurs de risques majeurs
•    Améliorer le processus de prise de décision dans l’ensemble de l’organisation en accélérant la transmission des informations
•    Optimiser la planification stratégique et permettre une meilleure appréciation du risque lié à l’intégration de nouveaux produits et services

b)    Amélioration du processus de remontée des « données risques »

•    Faciliter l’évaluation des risques au niveau local (filiales)
•    Permettre la consolidation exhaustive des expositions au niveau mondial (groupe)

c)    Réduction de la probabilité de pertes

•    Réduire les coûts en neutralisant les pertes résultant de carences dans la gestion des risques

d)    Passer d’une approche par silo à une approche holistique de la donnée

•    Mutualiser les systèmes d’informations pour répondre à une demande croissante en reporting réglementaire
•    Piloter de façon granulaire les données afin de rationnaliser les ressources
•    Mettre en place des infocentres disposant de données comptables / gestion / risque centralisée pour servir les besoins réglementaires, les métiers, l’ALM et le pilotage de la banque
•    Amorcer la transition digitale

La Practice Conformité et Contrôle déploie tout son savoir-faire dans la compréhension des nouveaux enjeux réglementaires ; mais aussi dans la réalisation de missions d’audit et dans l'accompagnent opérationnel.