9 Mai 2017

BCBS 239 – POINT D’ETAPE A MARS 2017

Partager

La BIS a publié le 28 mars 2017 un point d’étape sur l’avancement de la mise en place de BCBS 239[1]. Il est basé sur une évaluation conduite sur le deuxième semestre 2016 par les différents régulateurs des 30 banques concernées.

A ce stade les régulateurs jugent non satisfaisante la conformité des banques avec la réglementation. Bien que le projet ait débuté en 2011-2012 avec une date butoir d’application en janvier 2016, seule une banque est jugée en conformité. Les autres sont priées d’accélérer très fortement la mise ne place des règles instituées.

Le comité de suivi préconise une publication du niveau de conformité banque par banque.

1 - Concernant les bons points on peut citer :

  • D’une manière générale, les régulateurs reconnaissent la bonne implication du Top management et les progrès réalisés en matière de connaissance et d’agrégation des risques.

Parmi les 11 Principe, 3 sont globalement conformes avec des ratings moyens supérieurs à 3 (sur un maximum de 4), matérialisant une conformité « presque totale, avec seulement quelques actions mineures requises pour être totalement en conformité »

  • Principe 8 – Représentativité (3,03/4), dont l’objectif est d’avoir des reportings couvrant tous les risques matériels. La complexité de l’organisation est prise en compte ;
  • Principe 9 – Clareté et Utilité (3,07/4), dont l’objectif est d’avoir des reportings clairs, concis et facilement interprétables, afin de permettre une prise de décision éclairée ;
  • Principe 11 – Distribution (3,37/4), dont l’objectif est d’avoir des reportings distribués aux personnes susceptibles d’agir pour une maitrise du risque, tout en garantissant la confidentialité nécessaire.

 [1] https://www.bis.org/bcbs/publ/d399.pdf

 2 - Concernant les mauvais points on citera notamment :

  • Principes 1 et 2 – Gouvernance et Architecture des données et systèmes IT - avec des notes moyennes respectives de 2,93 et de 2,6, ce dernier étant le principe le moins conforme aux exigences. 

Cest un point primordial puisqu’il touche au fondement  de cette réforme.   Ces principes visent à une bonne gouvernance (définition des politiques de risques, indépendance des fonctions, etc…) en s’appuyant sur la capacité à intégrer les reportings 

au PCA, à documenter les données, à mettre en place des ID uniques pour les clients, entités, etc… et enfin à coordonner les équipes IT, métiers et risques pour une mise en place des contrôles de risques.  

On pourra toutefois noter que la majeure partie des banques visait une mise en conformité fin 2017 et fin 2018.

  • Concernant les capacités d’agrégation des données (Principes 3 à 6), on notera également le manque de contrôle qualité et l’insuffisante documentation des processus manuels, ou encore l’insuffisante capacité à agréger les données des filiales internationales.
  • Enfin concernant les pratiques de reporting (Principes 7 à 11), une pratique trop statique basée sur des processus encore trop manuels, et parfois incapable d’atteindre le niveau de granularité, ou géographique ou prospectif nécessaire.

Pourquoi ces retards ?

Ces retards sont principalement dûs à des problèmes techniques :

  • La difficulté à gérer ces projets complexes qui nécessitent beaucoup de ressources humaines et ont un coût important ;
  • Une trop forte dépendance aux opérations non automatisées ;
  • Une harmonisation insuffisante des systèmes IT et des données ;
  • Un manque de contrôles qualités ;

mais sont aussi le résultat de la difficulté à définir les seuils de matérialité des risques. Cet obstacle avait déjà été mis en avant lors du précédent point d’avancement de décembre 2015. Les banques continuent à avoir des difficultés à décrire et définir les seuils critiques au-delà desquels les risques doivent être pris en compte.

Notons que compte tenu de la nature évolutive du business, cette appréciation de la matérialité doit être revue de façon annuelle et intégrer les évolutions attendues du marché et de l’organisation (ex. fusion).

Cette exigence semble être mal comprise par un certain nombre de banques, le management considérant parfois que cet exercice doit être fait une seule fois.

Enfin certains établissement peinent à détecter les risques futures aux travers de scénarios prospectifs et de stress tests.

Le comité de supervision recommande dès lors les mesures suivantes :

  • Mise en place d’une roadmap par les banques permettant d’assurer de façon dynamique la conformité avec les règles ;
  • Les régulateurs devraient communiquer les résultats de conformité banque par banque.

Les convictions d’Exeis Conseil :

Clairement les établissements doivent mieux documenter leur gouvernance et s’assurer qu’elle reflète bien l’implication du Top management, ce qui est déjà une réalité. Le processus de validation doit bien souvent être amélioré. C’est donc plus une question de temps consacré à la formalisation, qu’une question de fonds.
Il faut aussi réduire la dépendance aux procédures manuelles ou à minima documenter et mettre les gardes fous nécessaires.
Enfin, il faut avoir une vision prospective de leurs risques et montrer que les établissements se mettent en position de revoir à intervalle périodique ces éléments. A ce jour, ceux qui en prennent conscience, devant la charge de travail, se tournent de plus en plus vers le choix de l’accompagnement externe tant pour le diagnostic que pour le suivi. 

 

 

 

 

 

 

 

 

Partager

Vous souhaitez réagir, donner votre opinion, poser une question ou partager votre expérience ?
Laissez-nous un commentaire pour enrichir cet article !

Consulter la charte de modération