Quelles sont les nouvelles exigences des superviseurs bancaires en matière de fourniture de données ?
Ma perception et les faits montrent que le superviseur a changé de dimension dans ce domaine : il travaille moins avec des données agrégées et s’est équipé ces dernières années de ressources qui lui permettent d’analyser dans le détail (cruncher) les données fournies. Nous l’observons à travers les exercices ad hoc (loan tape, deep dive et futur loan origination), ainsi que sur des déclaratifs, tels que AnaCredit. Ses exigences portent de plus en plus sur des données très granulaires, qu’il s’agisse des reportings habituels ou de demandes plus conjoncturelles, comme celles qui nous ont été adressées au cours de la période récente de crise sanitaire.
Ainsi, au cours de l’année passée, concernant les mesures prises en raison de la crise sanitaire, notamment autour des moratoires sur un certain nombre de prêts, le superviseur nous a demandé des reportings a minima mensuels, mais aussi parfois des requêtes ad hoc, avec des délais de réponse de deux à trois jours.
Nous avons aussi remarqué que le superviseur est en capacité de croiser les données fournies, pour vérifier la cohérence des reportings que nous lui adressons. Par exemple en ce qui concerne le reporting déclaratif Finrep versus le reporting Corep.
Au travers des exigences BCBS239, auxquelles nous ne sommes pas soumis en raison de notre taille, mais dont nous devons adopter les principes visés à travers le Supervisory Review and Evaluation Process (SREP), nous avons constaté que le superviseur examine tout particulièrement notre capacité à disposer des données pour répondre à ses exigences et pour piloter les risques. Il s’intéresse à notre degré d’autonomie en la matière, à notre capacité à réagir pour disposer de l’ensemble des données qui nous sont demandées. Le superviseur nous a également interrogés sur notre façon de veiller à la bonne qualité de nos données, et sur notre gouvernance en matière de data.
Comment s’organiser pour y répondre ? Quelles sont vos priorités aujourd’hui en termes d’accès et de manipulation de données ?
La data est reine dans les banques, c’est le point cardinal tant pour les activités commerciales que pour la gestion du risque. Bpifrance a donc mis en place une gouvernance au niveau de la Direction des systèmes d’information (DSI) pour que tous les métiers lui remontent leurs besoins en matière de données.
Ensuite, notre souhait, au niveau de notre ligne de métier, est de disposer en central des données de référence (golden source) et de l’autonomie nécessaire pour répondre aux interrogations du superviseur, mais aussi pour piloter nos risques internes. Ce besoin a été adressé à travers la création d’un datalake, version évoluée d’un entrepôt de données.
En effet, Bpifrance crée beaucoup de produits dans le cadre de sa mission publique d’aide aux entreprises. Cette tendance s’est encore accélérée avec la crise pandémique, via la création de produits dédiés à ce contexte spécifique. Nous devons :
(1.) évaluer comment ceux-ci sont intégrés et modélisés dans le datalake ;
(2.) le risque particulier lié au cadre de la crise pandémique (potentielles souscriptions par des entreprises en difficulté) ;
(3.) déterminer ce que cela peut nous coûter en termes d’exigences de fonds propres.
Notre principale priorité, aujourd’hui, est de disposer d’une certaine autonomie en matière de traitement de données. Mais il faut composer avec nos process habituels (legacy), qui n’intégraient pas nécessairement ce besoin. Nous essayons donc d’obtenir de la DSI que notre datalake inclue toutes les données demandées, dans une conception la plus large possible, pour disposer d’un enrichissement maximal des données et avoir ainsi une capacité accrue de répondre à toutes les demandes.
Nous souhaitons en outre pouvoir consulter les bases de données des systèmes de gestion front-to-back pour parer à de nouvelles demandes, qui n’auraient pas été prévues dans le datalake. Il faut prévoir l’accompagnement des métiers par le système d’information pour que ce datalake soit régulièrement enrichi, car nous travaillons sur des fréquences quotidienne et mensuelle. Par exemple, lorsque la BCE a voulu évaluer notre capacité à anticiper une défaillance en masse (cliff effect) des prêts sur lesquels nous avons consenti des moratoires, il nous a fallu collecter des données quotidiennement pour identifier les périodes de plus forte reprise d’échéances.
Dans vos relations avec le superviseur, quelles sont vos forces et vos faiblesses en termes de reporting ?
Ce nouveau process change complètement le paradigme de ce qui existait auparavant. Jusqu’alors, après réception des demandes des superviseurs, nous qualifiions ces dernières et rédigions nos besoins en matière de données pour les adresser à la DSI et attendions son retour. Nous ne pouvons plus fonctionner de cette façon, parce que, notamment, pendant la crise pandémique, il nous fallait parfois répondre en quelques jours seulement aux requêtes de la BCE. Et, outre les demandes de reporting du superviseur, ses missions d’audit se multiplient : nous en avons eu pas moins de deux sur le premier semestre 2021. Comme je l’ai déjà évoqué, le superviseur examine désormais notre capacité à nous organiser pour répondre à ces demandes tout en maîtrisant nos délais de réponse.
Nous avons senti la pression monter au cours des dernières années, pour répondre aux principes de BCBS239, avec des exercices de deep dive, des missions loan tape, qui étaient déjà les prémices des exigences à venir en matière de maîtrise des données. La BCE estime désormais que, forts de ces expériences, nous devons être en capacité de répondre à ces exigences nouvelles. Le superviseur part du principe que pour être performant en matière de pilotage des risques, il faut avoir une très bonne maîtrise des données, que l’on parle de process, de réactivité ou de la qualité des data.
Notre difficulté est de passer de l’ancien au nouveau monde en termes d’acquisition de données ! Et il faut aller plus vite, sans pour autant sacrifier la qualité de ces dernières. Faire un pilotage sur un socle de données qui ne seraient pas qualitatives est un réel danger.
Comment s’assurer de la qualité et de l’homogénéité des données ?
Le problème de l’homogénéité de la donnée, nous le traitons, d’une part à travers la gouvernance de la donnée et d’autre part via la définition du dictionnaire que nous partageons transversalement avec chaque filière métier, afin d’aligner les concepts et les définitions en tenant compte des spécificités de chacune d’elles.
Par ailleurs, nous avons mis en place une démarche commune pour veiller à la qualité des données et nous spécifions, au sein de chaque process, les contrôles à réaliser. Au regard de la quantité des contrôles à effectuer, nous avons été amenés à définir des sets de données prioritaires, qui ont été déterminés en fonction du coût que pouvait représenter la non-qualité. Nous faisons des collectes de données dans le datalake en nous fondant sur notre modèle, conformément aux définitions du dictionnaire. La qualité de la donnée doit se juger sur son intégrité, sa cohérence et sa complétude.
L’intégrité de la donnée consiste, par exemple, à croiser des données pour vérifier que l’activité d’une entreprise correspond bien à sa forme juridique. La cohérence consiste à vérifier que les mêmes données utilisées dans des bases différentes définissent les mêmes éléments : par exemple, des informations qui pointeraient vers un client corporate dans une base et vers une personne physique dans une autre seraient une incohérence. C’est aussi ce que cherche à vérifier le superviseur, en croisant nos différents reportings réglementaires.
S’assurer de la qualité de la donnée est un processus très chronophage et représente un coût significatif, qui pèse lourdement dans les budgets dont disposent les métiers. Mais la qualité des données et les moyens qui lui sont consacrés sont le nerf de la guerre dans ce domaine.
Où en est la mise en œuvre de ce nouveau dispositif de reporting chez Bpifrance ?
Nous sommes dans la définition des scénarios, des feuilles de route pour construire le dispositif cible et, parallèlement, nous nous sommes organisés pour mettre en œuvre des solutions transitoires. Nous le faisons en mode agile en posant les briques au fur et à mesure. Les fonctions risques et finance auront un datalake commun, car elles partagent un ensemble de données pour leurs travaux de pilotage.
À quelles exigences spécifiques devez-vous faire face pendant cette période particulière de crise du Covid ? En particulier concernant les moratoires Covid et/ou les PGE ?
À la demande du superviseur, nous avons mis en place des tableaux de bord mensuels destinés à notre Comité exécutif, en vue de suivre les mesures (moratoires Covid) et les produits d’aide mis en place en période de Covid.
L’European Banking Authority (EBA) a autorisé les banques à accorder des moratoires à leur clientèle sans dégrader automatiquement leur qualité de crédit, sous réserve que la banque fasse une analyse poussée de la situation de ses clients pour éviter tout laxisme et montrer que le moratoire ne masque pas des difficultés plus structurelles que celles conjoncturellement liées au contexte sanitaire.
Nous avons adapté notre suivi des risques, afin de détecter les signes d’alerte précoces de difficultés par client et par secteur d’activité. Ensuite, nous contactons les clients concernés pour confirmer ou infirmer une situation de difficulté financière. Cela répond également aux exigences de la BCE, très attentive aux signes probables d’absence de paiement (unlikeliness to pay, UTP) et aux restructurations.
Nous avons donc défini un profilage de risques pour identifier les clients susceptibles d’être confrontés à des difficultés, en fonction des secteurs, des types de contreparties, etc.
Propos recueillis par Élisabeth Coulomb.
