Le Mécanisme de supervision unique (MSU) est désormais établi comme un élément clé de l’union bancaire européenne. Opérationnel depuis le 4 novembre 2014, le MSU mis en place afin de garantir des règles communes de surveillance au sein de l’Union économique et monétaire a continué à accroître son périmètre d’intervention. Il compte aujourd’hui plus de 3 000 superviseurs répartis entre la BCE et les superviseurs nationaux, et 129 banques sont directement placées sous sa supervision. Il reste néanmoins beaucoup à faire pour la BCE et les Autorités nationales compétentes (ANC) afin de développer et intégrer la nouvelle approche de supervision unique. Nombre de ces chantiers sont significatifs et à enjeux pour les banques. L’un d’eux concerne la qualité des données. Nous sommes dans l’ère d’une utilisation extensive des données, du Big Data tant pour le pilotage que pour la surveillance des activités. Toutefois, s’il devient la norme pour le MSU d’utiliser les données pour réaliser ses missions, la capacité pour les banques de produire à la demande des données variées et contrôlées de manière industrielle, flexible et maîtrisée reste un enjeu essentiel dans les organisations.
Un enjeu stratégique dans le cadre de la mise en œuvre du MSU
Traditionnellement, les données produites par une banque peuvent être réparties en trois catégories : les données que les entités de supervision exigent de manière périodique, les données qui pourraient être collectées de manière ad hoc, et les données utilisées pour des besoins internes. Les reportings prudentiels offrent des définitions communes de ces données, mais ne couvrent qu’un périmètre réduit d’indicateurs. La nature des données collectées (périodiquement ou ponctuellement) varie rarement, sauf en cas de changements substantiels de l’environnement réglementaire, comme c’est le cas depuis 2008. Même si l’essentiel de la réforme dite Bâle III a été mis en œuvre, la nature des données collectées sur une base périodique et de manière ad hoc pourrait encore être amenée à évoluer. De plus, il n’est pas à exclure que des entités de supervision puissent être amenées à demander occasionnellement des données que les banques considèrent ne pas avoir à produire aujourd’hui.
La qualité des données et leur organisation par les banques supervisées sont donc un enjeu stratégique. Il devient crucial pour une banque d’être agile dans sa capacité à collecter, fiabiliser et produire les données dans un temps très court. Il s’agit non seulement d’un enjeu vis-à-vis des données produites et communiquées à la BCE – sur base récurrente ou ponctuelle –, mais également d’un enjeu stratégique dans le cadre de la réponse à la réglementation du Comité de Bâle BCBS
La qualité des données produites
D’un point de vue technique, sur la forme, les données produites par les banques et communiquées à la BCE doivent en effet être de qualité au sens du respect des règles de validation technique (format, contrainte d’égalité…) sous réserve d’être rejetées. Ainsi, par exemple, sur le périmètre de l’ITS (Implementing Technical Standards pour les reportings à l’attention du superviseur) pas moins de 3 000 règles de validation sont prévues à l’heure actuelle dont plus de la moitié sont bloquantes.
Mais il est également primordial que les données soient fiabilisées, sur le fond, car elles servent entre autres :
- à alimenter les analyses visant à évaluer la situation de chaque banque ;
- de fondement aux décisions en matière de surveillance prudentielle ;
- ou bien encore à l’évaluation des besoins en fonds propres.
Toutefois, l’enjeu ne se limite pas à l’organisation de la production régulière de données dûment contrôlées. Ainsi, la BCE peut être amenée à demander ponctuellement la production de reportings réglementaires dédiés.
C’est le cas par exemple dans le cadre des « TLTRO » (Targeted Longer-Term Refinancing Operations), dont l’objectif est d’améliorer le mécanisme de transmission de la politique monétaire en soutenant l’activité de prêt à l’économie réelle. Afin de profiter de ses conditions avantageuses de financement, les banques doivent produire et communiquer à la BCE des reportings trimestriels portant notamment sur la nature des prêts octroyés, les contreparties auxquelles les prêts sont accordés, ainsi que la nature des flux d’octrois ou de remboursements. Ces reportings font appel à des données de gestion spécifiques et constituent un enrichissement substantiel des données publiées par ailleurs.
Dans ces conditions, la BCE a recours à l’intervention des commissaires aux comptes afin d’apporter du confort sur la qualité des données produites. Ceux-ci peuvent dès lors également servir de vecteurs de convergence des pratiques de place de par la spécificité des travaux menés et les strates additionnelles de contrôle qu’ils apportent.
Une infrastructure IT à faire évoluer
La production des différentes données demandées par la BCE sur une base récurrente ou ponctuelle passe dès lors par des changements en profondeur dans les organisations et systèmes d’information des institutions. Étant donné la complexité des systèmes et processus mis en œuvre au sein des établissements concernés, les solutions à ce problème sont complexes à concevoir et à financer. Une solution efficiente va, dans bien des cas, nécessiter un investissement soutenu, sur plusieurs exercices aussi bien que l’utilisation de technologies innovantes.
Cette complexité n’a pas échappé au MSU qui en a fait l’une de ses priorités. Ceci se traduit dans l’importance des travaux entrepris par les banques sur la qualité des données depuis l’exercice de comprehensive assessment et les nouvelles contraintes introduites par BCBS. Compte tenu de l’environnement toujours plus complexe des banques, ces dernières ont engagé de nombreux chantiers afin d’être en mesure de répondre de la façon le plus automatique possible aux demandes de données de la part des organes de supervision.
Ainsi le MSU considère-t-il que la conformité à BCBS 239, la capacité à agréger et à centraliser les informations relatives à l’ensemble des risques auxquels est confrontée une banque, est un prérequis essentiel pour garantir une prise de décision éclairée prenant en compte les risques et créant les conditions d’une gouvernance des risques mature et efficiente. Ces préoccupations s’inscrivent d’ailleurs dans la continuité des préoccupations sur la gouvernance des risques et sur l’appétit au risque.
Garantir la qualité et la sécurité des données nécessite une infrastructure IT de haut niveau. Les risques inhérents à l’IT sont donc également au cœur des préoccupations du MSU.
Sur la base d’une étude réalisée par Deloitte et conduite auprès de 45 institutions directement supervisées par le MSU et représentant 16 des 19 pays de l’eurozone, la collecte et l’agrégation des données risques ainsi que la qualité des données ressortent d’ailleurs comme deux des aspects les plus complexes à traiter parmi les priorités du MSU.
Conclusion
On l’a vu, une gouvernance des données effective et efficiente tout comme l’automatisation des processus de production sont des enjeux stratégiques et doivent faire l’objet d’investissements dédiés. Les données doivent être exactes, exhaustives et produites en temps et en heure. Les attentes des organismes de supervision sont extrêmement fortes en la matière.
Le coût de l’inefficacité dans ce domaine va aller en s’accroissant. Il continue en effet de se dessiner aujourd’hui dans le paysage réglementaire européen – voire mondial – une tendance à l’interaction entre les données comptables et les données risques, tant au niveau des textes réglementaires (accords de Bâle, CRR/CRD 4) que des normes comptables (IFRS 9). Cette homogénéisation dans l’approche des activités bancaires s’accompagne de profonds changements dans la gestion et la compilation des données sur les risques.
Les clés du succès ne se trouvent dès lors plus dans la présentation des données en elle-même, mais dans l’agilité, l’adaptation des systèmes et des organisations – aussi bien en termes de données que de gouvernance – entre la comptabilité, la gestion et les risques, et également dans l’identification de synergies entre les différentes exigences normatives et prudentielles.
