18 Janvier 2018

Notre avis sur les nouveaux principes de Stress Testing en banque

Partager

Le 20 décembre 2017 le Comité de Bâle pour la Supervision Bancaire (ci-après « BCBS ») a publié un document consultatif portant sur les évolutions souhaitables des principes à appliquer en matière de construction et de pilotage de scénarios de stress. Les commentaires des banques et des régulateurs sont attendus pour le 23 mars 2018 au plus tard.

 

1 – La vision d’Exeis Conseil sur ces changements :

La proposition de BCBS nous semble aller dans le bon sens, pour les raisons suivantes :

  •      vise à simplifier la présentation des règles actuelles, notamment en regroupant certaines d’entre elles ;
  •       propose des règles communes adressées aux banques et aux régulateurs ;
  •       moins de détails et plus de libertés laissées à l’appréciation des banques en fonction de leur business model et de leurs situations.

Nous avions, lors du point d’octobre 2017 sur l’avancement de la mise en œuvre de Bale III, insisté sur l’importance d’avoir dans la prochaine version évolutive de Bâle III (ci-après Bâle IV) des éléments de simplification. Ces simplifications doivent de facto aider à harmoniser l’avancement des différentes juridictions sur ce cadre réglementaire qui à ce jour sont à des stades d’avancement très différents.

Par ailleurs, ces principes se recoupent pour beaucoup avec les principes de BCBS 239.

Si ces derniers ne s’appliquent pas d’emblée à toutes les banques, la mise en place d’une organisation visant à s’assurer de la résilience de chaque établissement à un scénario de stress s’applique bel et bien.

Les principes de BCBS 239 que nous pensons structurés pour une bonne gouvernance du risque transparaissent donc pour partie.

Encore faut-il que les prérequis indiqués dans ce document consultatif soient atteints. Or, à regarder la perception que le Comité de Bâle a sur la mise en place de BCBS 239, il existe une grande marge de progression.

A titre illustratif, la synthèse de l’avis de BCBS que nous avions réalisé en mai 2017 montrait que le Comité n’était pas pleinement satisfait : 

  •   de la gouvernance et l’architecture des données et systèmes IT (principes 1 et 2) ;
  •   des capacités d’agrégation des données et de leur qualité (principes 3 à 6) ;
  •   des pratiques de reporting (principes 7 à 11), souvent trop statiques et basées sur des processus encore trop manuels.  

Or, comme nous allons le voir, ces 3 points ci-dessus sont des éléments cruciaux dans le cadre proposé pour les scénarios de stress.

Heureusement, les régulateurs reconnaissent l’implication du Top management et les progrès réalisés en matière de connaissance et d’agrégation des risques.

 

2 – Les nouveaux principes

Si ces nouveaux principes sont moins nombreux et moins longs, ils n’en demeurent pas moins forts.

Au nombre de 9, contre 21 auparavant, ils s’articulent de la façon suivante :

PRINCIPES

PRINCIPALES OBLIGATIONS

NOTRE AVIS

NOTRE RECOMMENDATION

Le cadre du dispositif doit avoir des objectifs clairement assignés et validés

-  Définir clairement les objectifs

- Les faire valider par le CODIR ou un comité adéquat impliquant un effectif suffisamment haut placé dans l’organisation

- L’équipe en charge des simulations doit comprendre ces objectifs

- Il nous semble que le cadrage est du ressort exclusif du CODIR, car il s’agit de simuler la survie de l’entreprise

Créer un point de contrôle permanent sur la revue du dispositif.

- Revoir régulièrement la cohérence des documents.

- Au besoin faire un diagnostic externe pour valider la compréhension des enjeux par l’équipe

La gouvernance du dispositif assurant la construction des scenarios de stress doit être efficace

- La gouvernance doit être en place et documentée précisément, notamment en terme de rôle et responsabilités

- Le CODIR à la responsabilité finale du dispositif

- Le CODIR ou une instance appropriée doit être capable de comprendre tous les éléments matériels du dispositif afin de challenger les équipes en charge de la mise en place dudit dispositif

- Ne pas oublier de spécifier le rôle des 2ème et 3ème lignes de défenses (contrôle des risques et audit)

- Maintenir à jour l’ensemble de la documentation, des critères stressés et des facteurs de stress

- Faire valider les changements

- Il nous semble que le document fait référence à la bonne description du dispositif mis en place pour s’assurer de la qualité des scénarios de stress. Il omet de mentionner le besoin de décrire  le « qui fait quoi » en cas de crise réelle

- La formulation du 3ème élément laisse sous-entendre que le CODIR pourrait ne pas être en position de comprendre tous les éléments matériels. Cela nous semble contradictoire avec l’esprit général.

- Développer des RACI[1] pour documenter le « qui fait quoi » pour la création et la modélisation des scénarios

-  Aller plus loin en prévoyant ce qui doit se passer dans le cas ou le scenario de stress se réalise : boite à outil pour agir vite + « qui fait quoi »  à l’image de ce qui est fait pour le « leaving will »

- Le CODIR devrait s’assurer de comprendre les éléments matériels du dispositif.

Le test de stress devrait être utilisé comme outil de risk management et pour la prise de décision business

- Les stress tests doivent s’intégrer dans la vision stratégique de d’activité

- Ils doivent être conduit selon un calendrier bien défini

- Les résultats doivent être reportés de façon périodique au CODIR et au senior management

- Ils servent à documenter l’adéquation des fonds propres

- L’approche est cohérente et effectivement ces tests visent à garantir la bonne marche de l’établissement en fonction de son choix d’activité

- L’aspect conduction du test à intervalle périodique est discutable si l’on parle d’intervalles prédéfinis. Afin d’éviter des « run » consommateurs de temps mais inutiles, il nous semble préférable de prévoir les facteurs qui impliquent une obligation du « run » de tests : ex. fusion, scission, développement d’un nouveau marché, arrivé en haut de cycle ou bas de cycle d’un marché sur lequel la présence est forte, etc…

- Définir les facteurs clés qui nécessitent un « run » du stress test, indépendamment de l’intervalle de temps qui s’est écoulé depuis le précédent. Les cycles de l’économie et des marchés financiers ont des durées de vie variables et votre établissement a sa propre vie en matière de développement.

Le cadre de stress doit être réaliste et couvrir l’ensemble des risques matériels

- S’applique au bilan, hors bilan, et d’une manière générale sur tous les éléments affectant la solvabilité et/ou la liquidité de l’établissement

- Décrire les scénarios et pourquoi cela permet de capturer l’ensemble de vos risques

- Nécessité de s’appuyer sur des historiques, mais aussi sur des hypothèses probables dans le cas ou l’historique ne couvre pas de phase de crise pour le produit/marché concerné (cas des nouveaux produits type Bitcoin par exemple)

- Les scénarios doivent être cohérents avec la taille, l’organisation, l’expérience, la structure de l’organisation

Il est pertinent de considérer ces tests au niveau groupe et au niveau solo. Attention aux évènements exceptionnels cachés dans un coin de l’organisation qui, par leurs ampleurs, nécessiteraient une recapitalisation non envisagée avec une vision globale, mais demandée par un régulateur local et générant un effet domino.

- Utiliser les données économiques et de marchés, mais aussi son propre historique des précédentes crises. L’inspiration ne manquera pas !

- Eventuellement, faire revoir la cohérence du tout par un œil externe après une forte phase de croissance (généralement prémisse de difficultés plus ou moins grandes)

Les ressources et l’organisation doivent permettre d’atteindre les objectifs fixés

- Bien définir la gouvernance (vision centralisée vs. vision locale)

- Bien définir la taille des organisations

- Bien définir les besoins en infrastructures et qualité de données

- C’est une évidence, l’organisation et au fonds les hommes qui sont affectés à cette tâche feront la différence

- Entourez-vous de profils seniors connaissant les différentes lignes métiers, filiales et pays à couvrir

- Partager la vision de ce qu’est le scénario de stress et tuer les visions purement top-down ou bottom-up

Les stress test doivent s’appuyer sur des données suffisamment détaillées et fiables

- Les données doivent être fiables, pertinentes et disponibles au bon niveau de granularité

- Les données à usage interne doivent être cohérentes  avec celles pour le régulateur

On retrouve ici un parallèle avec les exigences de BCBS 239, ce qui nous semble positif

 

Conduire un audit sur la qualité des données qui selon le Comité de Bâle reste un point faible

Le choix des modèles et des méthodes doivent être adaptés à l’objectif du stress test

- Définir précisément les modèles, méthodes et données utilisées

- Le niveau de sophistication doit être adapté

- Ces choix doivent être fait en considération de l’activité, des ressources et de l’organisation

Pertinent. Cela laisse une liberté et donc une responsabilité plus grande aux décideurs de faire ces choix. Ils ne peuvent dès lors pas rejeter la faute sur le régulateur d’avoir mal calibré l’effort à faire.

Avoir une approche structurée sur la définition des capacités de l’établissement. Valider les simplifications, ou aller chercher les bonnes ressources (au besoin à l’extérieur)

Les résultats du stress test doivent être challengés et revus périodiquement

- Les hypothèses et résultats doivent être challengées par les lignes métiers et recoupées par l’expérience des crises précédentes

- Un audit indépendant doit être réalisé de façon périodique

- Oui, comme indiqué il faut partager la vision du stress.

- Attention toutefois aux BL ayant tendance à indiquer que cette fois ci les choses sont différentes. Si elles le sont c’est en pire, rarement en mieux en raison des interconnections et de la rapidité accrue de propagation.

- S’assurer que le plan d’audit couvre cet aspect.

- Fixer des règles pour le challenging des hypothèses et des résultats

- L’externalisation est un moyen alternatif permettant de ne pas s’enfermer dans sa propre logique / vision

Communication des méthodes et résultats

Le Comité préconise de communiquer de manière large les résultats et méthodes, et non de se cantonner à diffuser juridiction par juridiction

Cela nous semble sensé, toutefois il ne faudrait pas que cela se traduise par une avalanche de requêtes supplémentaires non justifiées.

 

 

En conclusion, indépendamment du résultat de cette consultation, il nous semble pertinent de réaliser à certaines phases importantes de votre évolution un diagnostic du schéma directeur mis en place. Les méthodes, les moyens et l’organisation de ceux-ci doivent être challengés pour assurer une couverture optimale des risques. La qualité des données reste un axe de progrès important, et un socle indispensable.

Pour tout approfondissement, vous pouvez prendre contact avec Vincent FALGERAS et François PINEAU du pôle expertise Finance / Risques / Conformité.

 

 

Pour recevoir la version PDF de cet article, merci de renseigner le formulaire suivant :

Remplissez ce formulaire pour recevoir le document

 


[1] RACI = Responsable, Acteur, Contributeur, Informé. Méthode standardisée visant à décrire les rôles et responsabilités

Partager

Vous souhaitez réagir, donner votre opinion, poser une question ou partager votre expérience ?
Laissez-nous un commentaire pour enrichir cet article !

Consulter la charte de modération