Les nouvelles exigences de reporting des données risque

La crise financière de 2008-2009 a mis en lumière les limites de la supervision bancaire liées aux faiblesses des dispositifs de reporting risque dans les institutions financières, notamment en matière de qualité et fraîcheur des informations communiquées tant aux autorités de supervision qu’à la direction même de l’entité. Celles-ci ont notamment constaté que les demandes ponctuelles ad hoc sur des informations qui ne faisaient pas l’objet d’un reporting régulier, étaient satisfaites avec un niveau de qualité et de rapidité insuffisant. En cause, des systèmes d’information (IT) et des architectures de données inadaptés tant en situation normale qu’en situation de crise.

Dès 2010, dans le contexte de renforcement de la supervision des établissements systémiques, le FSB (Financial Stability Board [1] ) a recommandé aux superviseurs nationaux de renforcer l’analyse des dispositifs de reporting risque et d’agrégation des données [2] Les superviseurs doivent analyser les besoins en données et en capacités de traitement des données dans le contexte d’exigences accrues de supervision des SIFI [3] Les insuffisances […] dans les capacités de collecter les données ad hoc rapidement […] doivent être traitées le plus rapidement possible. » Ces exigences ont été également précisées dans les recommandations du Comité de Bâle [4] aux superviseurs.

Les recommandations du Comité de Bâle

Ainsi, suite aux recommandations du FSB et dans la continuité de ses travaux précédents, le Comité de Bâle a publié en janvier 2013 le document dit « BCBS 239: Principles for effective risk data aggregation and risk reporting », enjoignant les établissements à adapter leurs dispositifs d’agrégation des données et de reporting des risques. Ces principes ont complété d’autres mesures prises afin de renforcer la supervision des SIFI, et prévenir tout risque de recourir à l’argent du contribuable, notamment en leur faisant obligation d’établir ex ante des plans de redressement et de résolution (PRR) et en leur imposant à la fois des exigences supplémentaires de capital selon leur degré de risque systémique et des capacités d’absorption de pertes additionnelles par le biais d’instruments de renflouement interne (bail-in).

Les exigences formulées dans le texte du « BCBS 239 » sont différentes d’autres réglementations publiées récemment. Elles posent des grands principes qui s’appliquent d’abord aux reportings internes des banques utilisés pour la prise de décision par la direction et l’organe de surveillance des établissements. Elles n’ont pas pour objectif de créer un énième rapport et visent à renforcer la qualité des informations envoyées aux superviseurs principalement par le biais des améliorations apportées aux reportings à destination des instances de décision. Ce texte exige de chaque établissement qu’il procède à une revue en profondeur de l’ensemble des processus internes de gestion des risques, de la manière dont sont produits les rapports et est agrégée l’information qui y figure afin de favoriser des prises de décision plus « agiles » et plus efficaces (voir Calendrier réglementaire).

Le document est organisé autour de 14 principes (voir Tableau), dont 11 s’adressent aux établissements et 3 aux superviseurs. Si ces principes s’appliquent en priorité aux établissements d’importance systémique mondiale (G-SIB), le BCBS recommande fortement que les établissements d’importance systémique domestique y soient également soumis. Cependant, plus que le strict respect de la date de mise en conformité, c’est l’esprit de l’exercice lui-même qui est considéré comme vertueux. Plusieurs banques ont déjà communiqué aux superviseurs et au Comité de Bâle que la date de janvier 2016 ne pourra pas être respectée (14 banques G-SIBs l’ont indiqué dans le questionnaire d’auto-évaluation de juillet 2014 [5] ). Le temps nécessaire à l’application des principes s’explique non seulement par l’ampleur des projets de refonte de certains systèmes d’information, qui s’étalent nécessairement sur plusieurs années, mais également par la diffusion progressive de la nouvelle culture autour de la qualité des données et de la culture du risque à tous les étages d’un établissement bancaire.

Une supervision axée sur les données

Ces principes sont au cœur de la nouvelle supervision qui se caractérise par une attention accrue à la qualité granulaire de la donnée elle-même en complément de celle de sa restitution dans les reportings produits à l’attention des superviseurs. Cette tendance peut être observée notamment dans les récents exercices de test de situation de crise (stress-tests), tels que CCAR (Comprehensive Capital Analysis and Review) aux États-Unis, FDSF (Firm Data Submission Framework) au Royaume-Uni, les stress-tests de l’EBA [6 ] dans l’Union européenne ou enfin la revue de la qualité des actifs (AQR, Asset quality review) conduite par la BCE avant sa prise de fonction comme superviseurde la zone euro. Ces exercices ont mis en évidence les difficultés de produire et d’agréger des données risque de qualité et ont souvent mobilisé des ressources importantes, ce qui n’est pas tenable et/ou souhaitable à long terme. L’étude publiée récemment par EY souligne ainsi que l’extraction et l’agrégation des données continuent d’être un défi majeur (pour 60 % des banques participantes de l’étude) en matière d’amélioration du dispositif de stress-tests [7] .

Ce processus de supervision axée sur les données est renforcé et accéléré en Europe par l’harmonisation des règles prudentielles par le biais notamment de la mise en œuvre du Single Rulebook [8] , dont l’EBA est le gardien du temple, et par la mise en œuvre du Mécanisme de supervision unique (MSU) qui regroupe la BCE et les autorités de supervision nationales de la zone euro. Dans les lignes directrices publiées par l’EBA sur le SREP [9] (Supervisory Review and Evaluation Process – processus de contrôle et d'évaluation prudentiels), l’analyse du dispositif d’agrégation des données et de reporting des risques fait partie intégrante du process de revue des superviseurs. Ainsi, il revient à la BCE, en tant que superviseur de la zone euro, d’appliquer ces lignes directrices et l’on constate qu’elle les utilise de plus en plus fréquemment dans son dialogue avec les établissements supervisés.

En matière de reportings et de transmission d’informations chiffrées, les superviseurs ont déjà mis en application les principes du BCBS 239 : on peut citer les demandes ad hoc dans le cadre de l’exercice AQR en Europe ou de « Top 20 » d’exposition au risque de contrepartie (Senior Supervisory Group ou Fed report) au niveau international que les établissements n’ont réussi à produire qu’en mobilisant des ressources importantes faute de disposer des outils performants pour les produire.

Ce processus de rationalisation des informations transmises va se renforcer avec la production du reporting Anacredit (Analytical credit dataset) en zone euro à horizon 2018-2019 dans lequel la BCE va demander de regrouper dans le même fichier sur certains portefeuilles les informations granulaires en ligne à ligne issues de la comptabilité et les informations provenant des outils risque.

Un défi en matière de transformation du modèle opérationnel de la filière reporting

Dans un contexte de pression réglementaire accrue, les établissements cherchent à s’adapter en utilisant les principes du BCBS 239 comme un vecteur majeur de transformation du modèle opérationnel de reporting selon les objectifs stratégiques fixés par la direction de la banque. Les projets de l’industrie réunis sous le label BCBS 239 permettent d’apporter une vue d’ensemble complète et cohérente des processus et des systèmes de reporting souvent restés en silos entre les fonctions Finance, Risque et les métiers et souvent vus à travers un prisme d’opposition « central versus local ».

Afin d’avoir cette vision transverse et de démontrer aux superviseurs les progrès vers la cible et vers la conformité entière aux principes, les programmes BCBS 239 désormais lancés par la majorité des établissements regroupent et mettent en cohérence plusieurs projets ou programmes existants ou nouveaux. L’animation de cet ensemble et la définition d’un plan d’actions pertinent et cohérent dans un groupe bancaire représentent des enjeux de taille :

• fixer l’ambition : définir ce que veut dire la conformité aux principes sur un périmètre de reporting risque dans des groupes comportant un nombre important d’entités ;
• identifier et prioriser les projets : traduire les principes génériques dans des travaux concrets ;
• mesurer : mesurer de manière concrète et avec des indicateurs pertinents la progression vers la cible ;
• responsabiliser : impliquer et responsabiliser les métiers et les équipes opérationnelles dans les travaux.

Les études menées par EY et les résultats des questionnaires d’auto-évaluation de 2013 et 2014 publiés par le Comité de Bâle ont mis en évidence le niveau de compréhension des exigences et le niveau de maturité différenciés des établissements. Il est intéressant de souligner que pour certaines banques, le niveau de conformité avec les principes décroît avec le temps, ce qui est dû principalement à une meilleure compréhension des enjeux et notamment à une traduction des principes dans des projets concrets. Cette traduction se matérialise par des feuilles de route qui peuvent présenter des écarts par rapport aux objectifs initiaux basés seulement sur des ambitions théoriques.

Définir un périmètre prioritaire

Dans la définition de l’ambition, la délimitation du périmètre et la définition des priorités ont une place primordiale. Dans les projets d’une telle envergure, il est impossible de s’attaquer à l’ensemble des processus et des reporting risque de la banque en même temps, il est donc fondamental de définir un périmètre prioritaire, tant en termes de reportings, d’entités et de métiers couverts que de données analysées. Les analyses menées permettent ensuite d’expliquer le raisonnement qu’a adopté l’établissement et de mieux argumenter le niveau de conformité annoncé aux superviseurs. Parallèlement, l’implication et la responsabilisation des métiers et des entités permettent de s’assurer qu’à leur niveau l’engagement vers le résultat est compris et correctement géré.

Quels sont donc les impacts concrets des principaux projets lancés par les établissements bancaires ? Le défi de transformation nécessite en priorité de :

• diffuser une nouvelle culture autour de la qualité des données dans les métiers et les fonctions des établissements. Cette culture transverse vise l’amélioration de façon continue et pérenne de la qualité des données depuis leur origination jusqu’au reporting final et la responsabilisation des acteurs intervenant à chaque niveau d’agrégation ;
• revoir les processus et les systèmes de production des reportings des données risque en améliorant la transversalité des équipes et des systèmes. Ce processus peut conduire à revoir le modèle opérationnel cible en repositionnant les équipes en charge de la production des reportings au sein des fonctions Finance, Risque et Gestion Actif-Passif. Des projets de refonte en profondeur d’architecture des systèmes Finance-Risque voient ainsi le jour ;
• anticiper les besoins de nouveaux reportings demandés par les superviseurs en assurant la mise en cohérence des informations et adoptant une approche de reporting globale plutôt qu’en silo. À titre d’exemple, l’exercice CCAR aux États-Unis nécessite de produire des informations homogènes et cohérentes sur le bilan, le compte de résultat et le calcul du capital dans des situations de crise. A contrario, la mise en œuvre en silo des stress-tests risque de crédit et/ou risque de marché et des modèles de projection du résultat est de nature à compromettre la qualité des résultats produits ;
• mieux articuler et faire converger les visions des entités et du groupe. La cohérence des informations présentées à l’organe de surveillance de l’établissement, de celles relatives à l’appétit au risque, des résultats de stress-tests, mais aussi des tableaux de bord risque au niveau des métiers ou dans les entités à l’étranger est cruciale. C’est à travers cette cohérence que les superviseurs évalueront demain la capacité des banques à avoir une vision cohérente de leurs risques, mais aussi, si la taille des groupes reste maîtrisée, à gérer l’ensemble de leurs entités et à correctement anticiper les nouveaux risques qui émergent ;
• renforcer les capacités de produire les reportings dans des situations de crise, d’identifier et d’agréger les nouvelles données dans une période de temps limitée. Ceci ne nécessite pas forcément l’agrégation exhaustive des données, mais bien plutôt la mise en place de processus « agiles » de production.

Une vraie valeur ajoutée

Même si la date de mise en conformité avec le texte BCBS 239 est fixée à janvier 2016 pour l’ensemble des établissements d’importance systémique mondiale, le processus d’évolution et d’adaptation des systèmes et des reportings est loin d’être arrivé à son terme. De surcroît, il va s’étendre dans les années qui viennent aux établissements de taille plus modeste. Dans un environnement où des processus unifiés de supervision par la BCE se mettent en place, où les évolutions réglementaires à venir (Bâle IV, notamment) vont considérablement alourdir la charge qui pèse sur les banques et où la croissance tarde à redémarrer, la pression sur la rentabilité des établissements est plus forte que jamais. Ainsi, la mutualisation des processus et des systèmes, l’amélioration de leur efficacité, la maîtrise et l’intégration de la culture de risque dans les groupes représentent des défis majeurs.

Parmi les établissements, ceux qui ont pris la juste mesure des évolutions du modèle de supervision et de ses enjeux, ont une longueur d’avance. La qualité des données et la responsabilisation des acteurs constituent une vraie valeur ajoutée pour ceux qui cherchent à parfaire la connaissance de leurs clients et de leurs comportements dans le monde « digital » de demain.