Suite aux dernières crises financières, et plus particulièrement à celle de 2007, de nombreuses évolutions réglementaires ont été examinées et adoptées par le Comité de Bâle. Ces superviseurs bancaires – composés de représentants des banques centrales et des autorités prudentielles de pays différents (Allemagne, Canada, Etats-Unis, Russie, France, etc.) – ont ainsi jugé nécessaire d’accroître la qualité des données et reportings sur les risques grâce à certaines règles, les principes BCBS 239.

Un contexte fragile

Le système bancaire a tiré plusieurs enseignements après la crise financière mondiale apparue en 2007. L’un des principaux a en effet suggéré que les systèmes d’information dont disposaient les banques n’étaient pas conformes à la gestion de l’ensemble des risques financiers (dont les principaux sont le risque de crédit, le risque de marché, le risque de liquidité ou encore le risque de capital). Un nombre considérable de banques n’ont pas été en mesure de fournir de bilans de leur exposition face à ces risques, que cela soit par entité juridique ou par métiers. En examinant ces dysfonctionnements lourds de conséquences, les régulateurs ont découvert que certains établissements bancaires n’ont pas été aptes à agréger correctement les données sur les risques et à établir des pratiques adéquates de reporting des risques en raison notamment de capacités insuffisantes. Afin de prévenir ce type de situation à l’avenir, de renforcer la résilience du secteur et pour assurer une stabilité du système financier, le Comité de Bâle a ainsi décidé de prendre des mesures supplémentaires via l’élaboration et l’adoption des principes BCBS 239 (en anglais, Basel Committee on Banking Supervision) avec pour objectif d’aider les banques à mieux déterminer et gérer les risques auxquels elles sont confrontées.

Entre obligation de conformité et pression réglementaire

Depuis les cinq dernières années, les établissements bancaires font face à de nombreux changements réglementaires avec des régulateurs et des législateurs de plus en plus exigeants qui attendent que ces derniers renforcent leurs procédures d’évaluation des risques et automatisent leurs capacités d’agrégation et de notification des données correspondantes. Publiés en janvier 2013 par le Comité de Bâle sur le contrôle bancaire, les 14 principes BCBS 239 regroupés en 4 thèmes doivent donc permettre d’améliorer les processus d’agrégation des données risques ainsi que les pratiques de production des reporting risques au sein des établissements bancaires, en particulier au sein des banques globales d’importance « systémique » (appelées les G-SIBs) et des banques domestiques d’importance systémique (appelées les D-SIBs). Parmi cette réglementation, 3 principes concernent les autorités de contrôle et 11 principes concernent les banques comme le résume le tableau ci-dessous.

Dans le cadre de cette nouvelle réglementation, les 30 établissements bancaires d’importance systémique devaient se mettre en conformité avant le 1er janvier 2016, alors que les banques d’importance nationale bénéficiaient d’un délai supplémentaire de 3 ans (janvier 2019). En réalité, les différentes mises en place ont été retardées et, afin d’éviter de lourdes sanctions, les établissements se sont engagés auprès des autorités de contrôle à corriger les écarts avec la plus haute priorité. Avec la bonne approche, les acteurs du secteur ont l’occasion aujourd’hui de s’attaquer à des problèmes de longue date qui limitent leurs capacités d’agrégation des données et de livraison des informations pour soutenir les besoins de prise de décision face aux risques. En outre, une prévision rigoureuse de la mise en œuvre de ce programme peut constituer une réelle opportunité pour les banques d’acquérir un avantage compétitif en innovant, en se modernisant, et en prévoyant les évolutions futures du secteur à l’aide de processus toujours plus efficaces. Ainsi, la réglementation BCBS 239 peut être perçue comme une énième régulation à laquelle il est nécessaire de se plier, mais les banques peuvent également en tirer profit et utiliser ces principes comme catalyseur pour des changements à travers les organisations.

Comment s’y prendre ? Quels sont les champs d’action prioritaires ?

Afin de répondre aux contraintes réglementaires imposées par le Comité de Bâle, les établissements bancaires peuvent recourir à plusieurs types de mises en place propres à leur organisation. Néanmoins, il est essentiel de suivre un chemin de fer clair, défini, d’identifier plusieurs champs d’action prioritaires et essayer d’en remplir les objectifs, à savoir : renforcer les infrastructures des SI pour une génération plus performante des reporting, améliorer la production et l’extraction des données sensibles, perfectionner les modèles de gestion des risques afin de limiter les probabilités de pertes et mettre en place une gouvernance solide. Pour ce faire, une planification et une gestion méticuleuse de différentes étapes permettent de construire des fondations solides pour la mise en conformité. Les banques devront alors accomplir les étapes suivantes :

  • Suite aux principes BCBS 239, les autorités de contrôle exigeront toutes les preuves pour justifier les prises de risque, les établissements doivent donc acquérir une vision complète de l’exposition face aux risques. Une évaluation générale du niveau de conformité de l’organisation et de son environnement doit s’en suivre afin d’identifier les faiblesses et de définir les normes à implémenter, tout en anticipant sur les risques à venir.
  • L’infrastructure des systèmes d’information et les individus sont des éléments fondamentaux pour l’agrégation et l’extraction des données risques, les organisations doivent donc se doter des bonnes ressources et compétences pour exploiter les données dans le cadre des prises de décision et pour répondre aux principes de gouvernance, d’exactitude et d’adaptabilité.
  • Pour mieux capitaliser sur la production des reporting, les banques doivent améliorer la cohérence et la qualité des données. Pour cela, les informations nécessaires pour les reporting doivent provenir d’une source unique et partagée afin d’assurer une meilleure compréhension des risques et donc une meilleure appropriation par le management.

Où en est à ce jour la mise en place des principes BCBS 239 ?

Le Comité de Bâle a diffusé deux exercices d’auto-évaluation aux établissements bancaires en 2013 et en 2014. Les résultats de ces questionnaires avaient alors clairement montré que les banques allaient avoir du mal à respecter la deadline du 1er janvier 2016. Plusieurs constats se sont alors dressés : les banques luttent clairement avec la réalisation des principes 2 (infrastructure informatique), 3 (exactitude et intégrité) et 6 (adaptabilité) et parfois ne comprennent pas le lien entre les différents principes. Néanmoins, aujourd’hui, les superviseurs sont conscients des défis auxquels les banques sont confrontées et savent qu’un grand nombre de G-SIBs ne couvrent toujours pas suffisamment de principes plusieurs mois après la date limite. Des amendes sont possibles mais ne sont toujours pas confirmés par les autorités estimant que les amendes et les pénalités ne devraient être qu’un dernier recours pour les banques qui ne veulent pas se conformer aux principes. En outre, le Comité de Bâle suggère que, dans les cas de non-conformité à la date limite de mise en œuvre, les banques fournissent un plan de redressement acceptable aux superviseurs, de sorte qu’aucune pénalité ne soit prévue à court terme. BCBS 239 est donc la première réglementation guidée par des problématiques technologiques où il est primordial de rapprocher les architectures finance, informatiques et risques. Les silos doivent ainsi se muer en systèmes plus cohérents et plus flexibles avec la mise en place d’une base de données en amont constituant une unique source de données pour les reporting réglementaires et le contrôle interne, rendant ainsi difficile la réalisation d’un tel projet.

En définitive, il est très important de réaliser un investissement conséquent pour répondre aux principes BCBS 239 si les banques souhaitent éviter des amendes. Cela implique notamment une refonte majeure des processus et des habitudes en matière de gestion des données. Néanmoins, cette phase est cruciale et permettra de mieux piloter l’activité à l’avenir avec des productions plus efficientes et des modernisations voire automatisations de certaines procédures.