Partager ce contenu

La BCE annonce l’intensification des mesures de supervision en matière de qualité des données et reportings risques

La BCE déplore la qualité encore insuffisante du dispositif de qualité des données et de reporting risques des établissements de taille importante. Elle publie un guide en juillet 2023 pour repréciser ses attentes associées qui s’inscrivent dans le cadre de BCBS 239. Elle prévoit de renforcer le dispositif de supervision afin de suivre de près les travaux de mise en conformité des banques.  

1.  Un constat sévère de la BCE sur l’adéquation du dispositif de data quality et de production des reportings risques au sein des banques

1.1.   Les résultats de l’audit BCE (2016) sur le respect des principes de BCBS 239

En 2016, la BCE a lancé un examen thématique sur l’agrégation efficace des données sur les risques et la communication des reportings sur les risques avec un échantillon de 25 grandes institutions de l’UE. S’appuyant sur les principes de BCBS 239, cette évaluation portait notamment sur :

  • La gouvernance globale des établissements de crédit.
  • La qualité des données.
  • Les capacités d’agrégation.
  • Les pratiques de production de reportings.

L’exercice a également été complété par une analyse comparative approfondie et deux analyses complémentaires : un exercice de « data lineage » pour le risque de crédit et un exercice « fire drill » pour le risque de liquidité.

1.2.   Des lacunes importantes dans les dispositifs d’agrégation efficace des données sur les risques en 2023

Aucune des institutions importantes de l’échantillon de l’examen thématique, y compris celles classées comme d’importance systémique mondiale, n’avait pleinement suivi les principes du BCBS 239. Les problèmes identifiés ont fait l’objet d’un suivi lors d’inspections sur place dédiées et dans le cadre du SREP. Toutefois, les progrès observés à la suite de ces actions n’ont pas été poursuivis : des lacunes sur l’efficacité de la gouvernance, les architectures de données sur les risques et les infrastructures informatiques restent encore à corriger.

En 2019, la BCE a donc adressé une lettre à tous les établissements importants au sein du mécanisme de surveillance unique (MSU), les exhortant à effectuer des améliorations substantielles et opportunes des pratiques internes de reporting et la mise en œuvre de la production de reportings intégrés exemplaires.

Malgré cette surveillance prudentielle accrue, la BCE n’a toujours pas constaté de progrès suffisants en 2023 ; le dispositif data quality et reporting risques ne reçoit pas encore le niveau d’attention approprié de la part des banques. Ce dispositif n’a pas été correctement piloté et de nombreuses faiblesses structurelles s’y rapportant n’ont pas été corrigées.

2.  De l’intérêt d’un guide sur les attentes du superviseur

L’amélioration du dispositif data quality et reporting Risques des banques est une des priorités de la BCE dans sa planification des actions de supervision pour le cycle 2023-2025. Elle a ainsi élaboré une stratégie de surveillance à la fois globale et ciblée pour les années à venir.

Le guide de la BCE sur l’agrégation des données sur les risques et la déclaration des risques vise à ;

  • Préciser, souligner et renforcer les attentes en matière de surveillance à l’égard du dispositif data quality et reporting risque.
  • Définir un ensemble des conditions préalables pour un dispositif data quality et reporting risques efficace.
  • Renforcer les compétences des collaborateurs des banques sur l’analyse de la qualité des données et partager les meilleures pratiques qui ont été identifiées dans l’industrie.
  • Permettre une priorisation ciblée des activités de surveillance pour faciliter de nouveaux progrès dans les capacités d’agrégation des données sur les risques par les banques.

3.  Les sept principaux domaines d’améliorations du dispositif

3.1.   L’organe de direction doit être garant de la qualité de tout le dispositif data quality et reporting risques

L’organe de direction de chaque établissement d’importance significative doit :

  • Accepter et exercer l’entière responsabilité de la qualité et de la gouvernance des données sur les risques.
  • Faire du dispositif data quality et reporting risques une priorité clé pour l’institution et veiller à ce que des ressources suffisantes y soient consacrées.
  • Superviser, hiérarchiser et suivre les principaux résultats attendus dans les programmes de remédiation prévus par l’institution.
  • Définir clairement les rôles et les responsabilités du dispositif data quality et reporting risques au sein de l’entreprise, y compris la mise en place de comités dédiés.
  • Assurer la mise en œuvre des politiques et des normes pour le dispositif data quality et reporting risques au sein du groupe.
  • Confirmer régulièrement que les reportings internes sur les risques, la surveillance prudentielle et les reportings financiers sont significatifs et bien équilibrés en termes d’informations qualitatives et quantitatives et qu’ils sont en mesure de contribuer à une prise de décision éclairée.
  • Veiller à ce que les membres de l’organe de direction et les fonctions de contrôle interne, y compris les responsables des fonctions de la gestion des risques, de la conformité et de l’audit interne, aient une compréhension suffisante des problématiques liées à la gestion des données, des technologies de l’information et risques financiers et non financiers (y compris, entre autres, les risques climatiques et les risques informatiques et de sécurité), ainsi que les données connexes et les exigences en matière de reportings.
  • Veiller à ce que les connaissances, les compétences et l’expérience des membres du conseil en ce qui concerne la gestion des données, les risques informatiques et financiers et non financiers, ainsi que les données connexes et les exigences en matière de qualité des données soient prises en compte lors de l’évaluation de l’aptitude collective de ses membres.

3.2.   Le périmètre couvert par le dispositif data quality et reporting risques doit être fiable

En termes de reportings, le scope du cadre de gouvernance des données comprend les éléments suivants :

  • Les reportings internes sur les risques qui fournissent des informations sur les indicateurs de l’appétit pour le risque (mesures et limites), ainsi que les principaux reportings sur les risques globaux, les principaux reportings sur les risques par type de risque important (financier et non financier).
  • Les reportings financiers publiés au moins une fois par trimestre, ainsi que les états financiers annuels.
  • Les reportings de surveillance prudentielle qui sont soumis à la surveillance financière ou autorités réglementaires (Pilier III, Corep, Finrep,…).

En ce qui concerne les modèles, le périmètre doit inclure les principales activités internes de gestion des risques y compris les modèles de fonds propres réglementaires du pilier 1, les modèles de fonds propres au titre du pilier 2 et les autres modèles clés de gestion des risques (p. ex. IFRS9, provisions collectives, modèles de VaR).

3.3.    Le cadre de gouvernance des données doit être efficace

Les rôles et responsabilités sont définis à différents niveaux conformément au principe des trois lignes de défense :

  • Les propriétaires de données (ou gestionnaires de données) représentent la première ligne de défense et sont responsables des données critiques tout au long de leur l’agrégation complète dans le processus de production.
  • Une fonction centrale de gouvernance des données est nécessaire et responsable :
    • De l’émission de politiques et des lignes directrices sur la gestion de la qualité des données.
    • De la surveillance de la bonne mise en œuvre du cadre de gouvernance des données dans l’ensemble de l’organisation.
    • De l’évaluation et du suivi de la qualité des données.
    • De l’accompagnement du processus de gestion du changement.
  • Une fonction de validation au sein de la deuxième ligne de défense qui est indépendante de la première ligne et qui veille à ce que les processus du dispositif data quality et reporting risques d’une institution soient conformes aux attendus.
  • Une fonction d’audit interne (troisième ligne de défense) qui fournit des examens indépendants périodiques des cadres de gouvernance des données, des capacités et des processus ainsi que la qualité des données utilisées pour la quantification des risques.

3.4.   L’architecture de données doit être intégrée

La gestion des taxonomies de données est recommandée. Cela implique :

  • Des définitions de données et des glossaires uniformes avec une propriété claire des données.
  • Des règles de validation autorisant des valeurs spécifiques ou une plage de valeurs.
  • Un data linéage complet et à jour (y compris la saisie des données) pour tous les risques.
  • Des indicateurs et des métriques adaptés.

La mise en œuvre doit être proportionnée, bien documentée et axée sur la fourniture des informations nécessaires au pilotage de l’institution et à la gestion de ses risques

3.5.   La gestion et les normes de qualité des données doivent être définies à l’échelle d’un groupe

Les politiques et procédures à l’échelle d’un groupe doivent être établies dans le cadre global de gestion des risques ou dans le cadre de gouvernance des données pour s’assurer que les contrôles sur la qualité des données sont efficaces et complets. Les problèmes de qualité des données matérielles doivent être corrigés. Toute limitation sur le dispositif doit être communiquée de manière transparente dans le groupe.

3.6.   La rapidité de production des reportings internes sur les risques doit être garantie

Des données exactes, complètes et opportunes sont essentielles à une gestion et à une identification efficaces des risques. Pour gérer efficacement les risques, Le circuit d’information et de communication doit être adapté.

Il y a deux facteurs qui déterminent la rapidité de la déclaration des risques : la fréquence des reportings sur les risques et le temps nécessaire pour produire les reportings :

  • La fréquence des reportings internes sur les risques doit être conforme à la dynamique des changements potentiels dans les chiffres sur les risques. Tout changement significatifs des données doit pouvoir amener à revoir la fréquence des reportings.
  • Le temps nécessaire pour produire un reporting a une incidence similaire sur l’efficacité de la gestion des risques : plus il faut de temps à une institution pour produire des reportings sur les risques, plus la période pendant laquelle la situation de risque reste sensible est longue et plus la probabilité de réactions tardives est élevée.

3.7.   La mise en place de programme de mise en conformité vis-à-vis de BCBS 239 est nécessaire

Les institutions qui ne suivent pas encore les pratiques exemplaires décrites dans les principes du BCBS 239 doivent mettre en place rapidement des mesures de mise en œuvre.

Un programme de mise en œuvre doit couvrir toute lacune et remédier à toute faiblesse constatée lors d’examens internes ou externes, y compris des inspections sur place effectuées par la supervision bancaire de la BCE. Les activités de mise en œuvre doivent tenir compte de leur effet potentiel sur les modèles internes, les interactions et les interdépendances de l’intégration des données sur les risques avec l’intégration des cadres d’information financière, et les stratégies commerciales et les technologies de l’information globales.

4.  Un renforcement des mesures de supervision de la BCE EST prévu afin de garantir le respect des principes bcbs 239

Le programme de travail de la BCE en matière de data quality et de reporting risques comprend :

  • Un engagement supplémentaire axé sur certains domaines prioritaires, en particulier sur la responsabilité des organes de gestion en matière de gouvernance et de contrôle de l’exécution ;
  • L’analyse comparative horizontale des résultats des activités hors site et sur le site par rapport aux attentes exprimées dans le guide ;
  • Une attention accrue portée à la qualité des données des reportings prudentiels des établissements et aux exercices de surveillance propre à l’établissement qui mettent à l’essai les capacités de déclaration ad hoc.

La supervision bancaire de la BCE s’engage à utiliser tous ses outils et pouvoirs de surveillance prudentielle si les exigences de conformité ne sont pas respectées (par exemple, dans le cadre du SREP, des activités de surveillance prudentielles régulières connexes, des inspections sur place et des enquêtes sur les modèles internes).

La BCE entend ainsi intensifier son caractère intrusif dans le cadre des évaluations annuelles SREP, ainsi que dans le cadre d’audits plus ciblés. Les conclusions et les mesures connexes font l’objet d’un suivi précis. L’intensité de la surveillance est augmentée dans les cas où les mesures de surveillance prises par le passé n’ont pas conduit en temps utile aux changements souhaités ou lorsque des défaillances continuent d’être constatées.

5.  Références

Guide on effective risk data agRÉgation and risk reporting (europa.eu)

https://www.bankingsupervision.europa.eu/legalframework/publiccons/pdf/ssm.pubcon230724_draftguide.en.pdf

6.  Abréviations et gLossaire

SREP : Supervisory Review Evaluation Process

Data lineage : lignage de données, consiste à visualiser l’ensemble du cycle de vie de la donnée, de sa création à sa suppression en passant par les différentes étapes de collecte, d’exploitation et de stockage

Restons-en contact !

Abonnez- vous à notre newsletter pour recevoir les articles d'analyse de nos experts et les actualités de nos formations.