1
Etude Ailancy du 19 janvier 2015
BCBS 239 Repenser la gestion des données Risques
2
BCBS 239 – Repenser la gestion des données Risques
1. Quelques mots sur Ailancy
2. Présentation de BCBS 239 et de ses impacts pour les Banques
3 QUELQUES MOTS SUR AILANCY Mieux nous connaître
Cabinet de conseil en organisation et en management créé en 2008, spécialiste du domaine banque, finance et assurance o Une équipe qui intervient en « pure player » du conseil principalement dans le domaine bancaire et financier, qui
compte à ce jour une soixantaine de consultants
o Nos références clients comptent parmi les principales institutions de la Place
Nous intervenons auprès de l’ensemble des acteurs du secteur bancaire et financier o Banques
o Etablissements de crédit
o Entreprises d’investissement
o Sociétés de gestion d’actifs
o Compagnies d’assurance
o Institutions et organismes de Place
Notre périmètre d’intervention o Cadrage et accompagnement de projets de développement et de distribution
o Etude de marché et positionnement stratégique
o Définition et mise en œuvre de stratégies opérationnelles
o Refonte de processus et de l’organisation
o Accompagnement de restructurations et fusions
o Recherche de partenariats, d’outsourcing, et de synergies
o Schéma directeur informatique
o Amélioration de la performance opérationnelle et de la rentabilité
o Optimisation du risk management et du dispositif de conformité
o Adaptation aux évolutions réglementaires
o Mise en place et animation de formations (Ailancy est organisme de formation agréé)
BCBS 239 – Repenser la gestion des données Risques
4 QUELQUES MOTS SUR AILANCY Nos derniers travaux sur le digital et les métiers
BCBS 239 – Repenser la gestion des données Risques
Depuis 2008, Ailancy apporte son expertise des services financiers dans le digital, les domaines réglementaires et opérationnels
Etude sur la transformation Digitale en
Banque et Assurance
Plusieurs cas de déploiement de nouveaux canaux de distribution
et de processus numérisés
Dernières Etudes Collateral Management : Comment en améliorer l’efficacité ? FATCA : Quelles stratégies projets pour limiter les coûts de
mise en place ? Éclairage sur les progiciels de gestion de portefeuilles Les Outils d’Aide à la Vente (CRM) utilisés dans le secteur
bancaire
Les Impacts de la MIF II
Les évolutions réglementaires à venir sur les métiers de la filière
titres au service des investisseurs
Quelles solutions à mettre en œuvre pour optimiser la gestion
des données financières ?
Les Market Data dans un nouvel univers
réglementaire et technique
Benchmark des OMS/EMS
Face aux évolutions du marché, comment identifier les
opportunités potentielles et de repenser ses choix
d’équipement
Organisation de la fonction MOA
Comment impliquer les métiers, quelle contribution à la gouvernance du
système d’information ?
Relation Client : Comment optimiser le traitement
des réclamations ?
Notre modèle des Bonnes Pratiques
reconnues sur le marché.
5 QUELQUES MOTS SUR AILANCY Quelques références
BCBS 239 – Repenser la gestion des données Risques
6
BCBS 239 – Repenser la gestion des données Risques
1. Quelques mots sur Ailancy
2. Présentation de BCBS 239 et de ses impacts pour les Banques
7 ASSURER LA FIABILITE DU SYSTÈME BANCAIRE De plus en plus de données Risques pour de moins en moins de contrôle ?
Sarbanes Oxley, Bâle 2, Bâle 3, Solvency 2, … autant de réglementations qui ont généré une explosion du nombre de données Risques disponibles dans une Banque ces dernières années
Cette profusion de données Risques de natures différentes, de granularités différentes, parfois non réconciliées entre elles, lentes à produire, finit par aller à l’encontre de l’objectif initial de maîtrise des Risques
Ainsi, la dernière crise financière a mis en exergue l’incapacité de certaines banques de disposer de données Risques (exposition, concentration, …) correctes et agrégées au bon niveau (groupe, entité légale, business line, …) permettant un pilotage adéquat des Risques
BCBS 239 – Repenser la gestion des données Risques
Dans ce contexte, le Comité de Bâle sur le Contrôle Bancaire a publié, en janvier 2013, la règle 239 (« BCBS 239 ») détaillant 14 principes visant à renforcer la gouvernance des données Risques (agrégation et reporting)
11 de ces principes sont à destination des Banques (détaillés ci-après) 3 de ces principes sont à destination du Régulateur et concernent
La revue de la conformité des banques aux 11 principes La capacité à exiger des mesures correctives en cas de faiblesses constatées des Banques La coopération entre les différents Régulateurs dans différents pays
o Des reportings de plus en plus nombreux à destination du régulateur (FINREP, COREP, FSB Reporting, Asset Quality Review, …)
o Des reportings en interne dans lesquels ces données Risques sont de plus en plus présentes (capital, liquidité, …)
8 LES RECOMMANDATIONS BCBS 239 EN 14 PRINCIPES 11 principes à destination des Banques et 3 du Régulateur
BCBS 239 – Repenser la gestion des données Risques
Les 11 principes sont structurés autour de 3 objectifs Une gouvernance solide soutenue par le système d’information Des données Risques fiables et pertinentes Des reportings Risques fiables à disposition des bons interlocuteurs au bon moment (notamment en période de crise)
Gouvernance et
infrastructure
1 Gouvernance Les capacités d’agrégation des données Risque d’une banque et ses pratiques de reporting Risques doivent faire l’objet d’un dispositif de gouvernance solide
2 Systèmes
informatiques L’architecture des données et l’infrastructure informatique sont conçues, mises en place et gérées pour renforcer les capacités d’agrégation des données Risques et les pratiques de reporting Risques, en situation normale et en période de crise
Capacité d’agrégation des données
Risques
3 Exactitude et
intégrité Les données Risques sont exactes et fiables pour satisfaire aux exigences d’exactitude applicables aux reportings, en temps normal comme en période de crise (l’agrégation des données doit, pour l’essentiel, être automatisée)
4 Exhaustivité Les données Risques doivent être agrégées et consultables par ligne de métier, entité juridique, type d’actif, secteur, région et autre, pour un Risque donné, afin de permettre l’identification et le reporting des expositions, des concentrations de Risques et des Risques émergents
5 Actualité Les données Risques doivent être rapidement produites, agrégées et mises à jour, dans les délais appropriés au risque (en fonction de sa nature, volatilité et importance pour le groupe)
6 Adaptabilité Les données Risque agrégées permettent de faire face à toutes sortes de demandes de reporting ponctuels, notamment émises en période de tensions ou de crise, liées à une modification des besoins internes et provenant des autorités de contrôle
Pratique de reporting Risques
7 Exactitude Les reportings Risques doivent présenter de façon précise et exacte des données Risques agrégées et donner une représentation fidèle des Risques encourus par l’établissement (ils doivent faire l’objet de rapprochements et validation)
8 Représentativité Les reportings Risques doivent couvrir toutes les grandes familles de Risques auxquelles l’organisation est exposée, le degré d’approfondissement de ces reportings et les questions qu’ils abordent étant fonction de la taille et de la complexité des opérations menées par la banque, de son profil de Risque et des exigences des destinataires
9 Clarté et utilité Les reportings Risques doivent être clairs, concis, faciles à comprendre tout en étant suffisamment complets pour permettre aux destinataires de prendre des décisions en toute connaissance de cause (les informations dont ils font état doivent être pertinentes et adaptées aux besoins des destinataires)
10 Fréquence La fréquence de production et de distribution des reportings Risques est définie par le conseil d’administration et à la direction générale, en fonction des besoins des destinataires, de la nature des Risques notifiés et de la vitesse à laquelle le Risque peut changer et cette fréquence doit augmenter en période de tensions ou de crise
11 Distribution Les reporting Risques sont distribués aux parties concernées en veillant à préserver leur caractère confidentiel
Source : http://www.bis.org/publ/bcbs239.pdf
9 LES MODALITES DE MISE EN OEUVRE Calendrier, périmètre et impacts
Un calendrier resserré
Des principes étendus à tous les Risques
Des impacts significatifs pour de nombreux acteurs
BCBS 239 – Repenser la gestion des données Risques
Risque de Marché Risque de Crédit Risque Opérationnel Risque de Liquidité
1er janvier 2016
3 ans
Date de mise en conformité au plus tard des G-SIBs (29 banques dites systémiques au niveau international – pour la France il s’agit de BNP Paribas, BPCE, Crédit Agricole et Société Générale)
Délai de mise en conformité qui sera accordé aux D-SIBs (banques dites systémiques au niveau national) une fois identifiées par le régulateur national A noter l’extension à terme de ces principes aux compagnies d’assurance
Direction des Risques
Direction des systèmes
d’information
Direction financière
Directions Métiers Top management
Middle management
Opérationnels
À tous les
niveaux
Dans un 1er temps le nombre d’établissements financiers ciblés par le Régulateur est limité Mais, au fil des ans, il est à prévoir une extension du périmètre initial
Transverses à plusieurs Directions
10 DES DISPOSITIFS ACTUELS NON CONFORMES Quel est l’écart à combler pour les établissements bancaires ?
En 2013, le Comité de Bâle a réalisé une évaluation de la conformité des banques G-SIB par rapport aux 11 principes du BCBS 239 via un questionnaire d’auto-évaluation
Cette auto-évaluation a mis en avant l’importance des efforts à réaliser par ces Banques pour être prêtes à fin 2015
BCBS 239 – Repenser la gestion des données Risques
La mise en conformité s’annonce comme un défi pour certaines banques
Synthèse des résultats de l’auto-évaluation des banques G-SIBs publiés en décembre 2013
o Les systèmes d’information (architecture des données et infrastructure informatique) de plus de la moitié des banques interrogées n’offrent pas les capacités d’agrégation et de reportings nécessaires (principe 2)
o Plus du tiers des banques interrogées se déclarent non conformes aux principes clefs concernant leur capacité d’agrégation des données Risques
• L’exactitude et la fiabilité des données Risques (principe 3)
• L’actualité (principe 5)
• Adaptabilité (principe 6)
Source : http://www.bis.org/publ/bcbs268.pdf
11
Réaliser au plus tôt un diagnostic flash pour évaluer et prioriser les travaux à mener
Anticiper les exigences du Régulateur pour les Banques non G-SIBs et pour les assureurs en intégrant progressivement les recommandations bâloises aux différents projets de l’établissement
Ne pas perdre de vue les avantages d’une meilleure gestion des données Risques afin d’être assuré de leur correcte prise en compte
Ne pas cantonner la mise en œuvre de ces recommandations à un projet ou programme mais utiliser au maximum les projets actuels ou à venir pour couvrir certains aspects
Suivre et communiquer les résultats de cette transformation transversale pour fédérer l’ensemble des contributeurs : ses avancées, ses coûts, les bénéfices obtenus, …
NOTRE RECOMMANDATION Une approche pragmatique
BCBS 239 – Repenser la gestion des données Risques
Réduire les pertes grâce à une meilleure qualité des données et une meilleure prise en compte des Risques dans les décisions Réduire les besoins en capital avec des recalculs plus fréquents sur des données plus fiables Diminuer les coûts avec une augmentation de l’automatisation et une rationalisation des reportings et tableaux de bord
12 UN EXEMPLE DE DEMARCHE ET DE TRAVAUX A MENER Ailancy peut vous accompagner tout au long du projet
BCBS 239 – Repenser la gestion des données Risques
Mise en œuvre Définition de la cible Analyse de l’existant
1 2 3
Evaluation de l’existant à partir des 87 exigences définies par le Régulateur pour couvrir les 11 principes (exigences publiées avec le questionnaire d’auto-évaluation et disponibles sur le lien suivant http://www.bis.org/publ/bcbs268.pdf) Au niveau Entité Au niveau Groupe
Identification des écarts et priorisation au regard de leurs impacts
Définition de la gouvernance Risques Définition des rôles et responsabilités Mise à jour des processus de décision
Définition des évolutions à apporter aux référentiels de données Identification / organisation des données
Risques clefs (attributs, hiérarchie, taxinomie, …)
Règles d’administration Processus et outils de pilotage de la
qualité des données (documentation, tableaux de bord, plan de réduction des ajustements, …)
Définition des évolutions à apporter aux processus de reporting Optimisation des processus de reporting
(automatisation, industrialisation, agilité, tendre vers des agrégations en temps réel, alignement des besoins Métiers et des Risques, …)
Evolution des outils (solutions internes vs externes)
Transformation de l’organisation des équipes Reportings
Priorisation, mise en cohérence et suivi des actions à mener au sein d’une roadmap intégrée au Schéma Directeur Pilotage de la réalisation des différentes actions (gouvernance, outils, processus, organisation des équipes, …) et animation des différents contributeurs Issus de différentes Directions (Risques,
Finance, IT, Métier, …) Et des différentes entités Groupe (pour
une synchronisation entre le local et le central)
Suivi de l’exécution de la road map et communication régulière des avancées Développement d’une culture Risques au sein de l’établissement pour une meilleure appropriation des données Risques
13 POUR NOUS CONTACTER
Nos coordonnées 32, rue de Ponthieu – 75008 Paris Tel : +33 1 80 18 11 60 Fax : +33 1 80 18 11 99 www.ailancy.com
Emmanuelle Goux, senior manager Tél. 01 80 18 11 93 - Mob. 06 10 34 03 26 [email protected]
BCBS 239 – Repenser la gestion des données Risques