Logo Exeis Conseils
Logo Exeis Conseils
Article

BCBS 239 – DES PRINCIPES ET DES CHALLENGES TOUJOURS D’ACTUALITE

Janvier 2017
Ce sujet publié par le comité de Bâle en janvier 2013[1] pour une application début 2016, reste toutefois d’une grande actualité. En effet, soit certaines parties du projet ne sont pas finalisées, soit le principe de revue périodique reste prégnant et nécessite tous les ans un support externe conséquent pour la mise à jour du « risk appetite »[2] du groupe, sa validation et son déploiement en cascade conformément à la réglementation. DES PRINCIPES ET DES CHALLENGES TOUJOURS D’ACTUALITE

Par ailleurs l’ACPR, sur la base de son suivi à mi-2016, considère que la majorité des établissements soumis à BCBS  239, surestime leur niveau de maturité sur le sujet, notamment en matière de qualité des données.

Quelques rappels sur BCBCS 239

Cette réglementation est née en réaction à la crise de 2007-2008 pour l’essentiel.  Les facteurs aggravants en matière de gestion du risque relevaient principalement de 3 points : 

  • Inadaptation des systèmes IT et de reporting ;
  • Défaut dans la gouvernance du risque;
  • Défaut de supervision.

Les systèmes et reporting étaient jugés globalement trop lents, incapables de donner une vision globale du risque ou de sous-catégories à risque, et peu homogènes en terme d’agrégation de données.

De l’avis général, en termes de gouvernance du risque, les organes de direction étaient insuffisamment informés des risques pris, ne s’étaient pas suffisamment impliqués dans la décision de choix structurants et d’hypothèses retenues, n’avaient souvent pas de vue prospective suffisante, et la documentation de la politique de risque, des guidelines et des procédures laissait à désirer.

Enfin, les régulateurs n’ont pas été épargnés non plus, en raison de leur manque critique de coordination transfrontalière, de défaillances importantes dans les contrôles, et de pouvoirs de sanction inadaptés.

Les enjeux de BCBS 239

Les principes énoncés dans BCBS239 s’appliquent à la gestion des données de risques, avec pour objectif de gérer le risque de façon rapide et adapté au profil de risque souhaité. Ils s’appliquent à tous les modèles internes clés de gestion et d’évaluation du risque, et réaffirment la nécessité de regarder devant soi. Enfin, ils laissent peu de place à l’avis d’expert.

Une partie de la difficulté dans l’application de cette règlementation relève du caractère général du vocabulaire utilisé, sans quantification possible en raison des sujets traités.

Qui est concerné ?

En pratique en France, la plupart des établissements financiers sont impactés. BNP, BPCE, Crédit Agricole, Société Générale en tant qu’établissements bancaires systémiques à l’échelle mondiale (G-SIB), Axa coté assurance pour la même raison (G-SIFI), Crédit Mutuel et Banque Postal (O-SII).

Cela s’applique aux groupes mentionnés et à leurs filiales. Par ailleurs il est très fortement recommandé aux législateurs locaux d'appliquer les mêmes règles aux D-SIBs c’est-à-dire aux établissements susceptibles d'être systémique à l'échelle du pays.

Les établissements devant intégrer la liste seront revus périodiquement et tout nouvel élu aura trois années pour se conformer à la réglementation. Autant dire que cela pose déjà une question de stratégie pour certains. Il s’agira d’anticiper avant même d’être formellement visé par la réglementation.

Les enjeux et que faire ?

14 principes ont donc été élaborés et se résument comme suit :

Les enjeux et que faire
Enfin les 3 derniers principes non représentés ici sont adressés aux régulateurs et relèvent de la revue, les outils et des modes de coopération.

Les apports extérieurs d’Exeis Conseil peuvent relever des domaines suivants

  • Diagnostic et analyse de la conformité de votre organisation ;
  • Etablissement d’un processus clair de répartition des responsabilités ;
  • Information et formation des administrateurs et clarification de leurs besoins ;
  • Aide à la définition/précision du « risk appetite » ;
  • Cartographie des risques et reportings ;
  • Aide au choix d’indicateurs de mesures des risques ;
  • Catalogues de processus, contrôles et pistes d’audit ;
  • Aide à la documentation ;
  • Aide à la refonte des processus ;
  • Arbitrage entre automatisation et solution alternative (semi-manuel, manuel …) ;
  • Et recherche de solutions ad hoc.

Au regard de la perception du régulateur sur la conformité des systèmes actuels il n’est à pas douter que les audits à venir apporteront leurs lots de recommandations.

[1] https://www.bis.org/publ/bcbs239.htm [2] Appétit aux risques Auteurs : Vincent Falgeras, François Pineau, Alumnis Exeis Conseil