Transcript Téléchargez notre guide

Au-delà de la conformité
L’excellence des données sur les risques
comme moyen de se démarquer
Cette page a été intentionnellement laissée en blanc.
Les nouvelles règles sur l’agrégation des données
sur les risques et la notification des risques ont
une incidence sur les activités et les systèmes
informatiques des banques
Si les données font l’objet d’une plus grande attention dans les secteurs de la cybersécurité et de
la notification des risques, elles sont rarement considérées comme un enjeu critique et stratégique
par les équipes de la haute direction. Étant donné l’urgence de demandes concurrentes en
matière économique et réglementaire, les politiques et les pratiques de gestion des données font
souvent l’objet d’une faible priorité. Toutefois, cette négligence recèle un danger. En d’autres
termes, une équipe de direction qui se fie à des données incomplètes, inexactes ou périmées peut
compromettre la prise de décisions commerciales.
L
e problème s’intensifie par le fait qu’à partir de la
saisie jusqu’au processus d’agrégation, les données
ne sont pas utilisés à des fins utiles. Plusieurs institutions
financières doivent effectuer un nettoyage intensif
des données et faire un rapprochement manuel
avant de pouvoir produire des rapports de gestion
raisonnablement agrégés qui ne sont souvent que
des rapports de base. Pour compliquer les faits, le
travail requis pour nettoyer, manipuler et rapprocher
les données empêche souvent les analystes de bien
comprendre les mesures clés et leurs répercussions sur
les activités commerciales. Cette situation est nuisible
pour les affaires et pour la transparence des marchés
financiers.
Afin de redresser cette situation, le Comité de Bâle sur
le contrôle bancaire (le « Comité de Bâle ») a publié
14 principes destinés à renforcer l’agrégation des
données sur les risques et la notification des risques.1
Si les principes se concentrent manifestement sur les
données sur les risques, ils visent à toutes fins utiles
à aider les banques à prendre des décisions éclairées,
uniformes et en temps opportun. Considérant l’état
actuel des affaires pour la majorité des banques, ces
principes auront de fortes et profondes répercussions
sur les activités bancaires. Les établissements bancaires
d’importance systémique à l’échelle mondiale (EBISm)
devront se conformer à ces principes d’ici janvier
2016, entreprendre des auto-évaluations annuelles et
produire des plans de mesures correctives et de mise
en œuvre pour combler les lacunes. Au Canada, le BSIF
s’attend que les établissements bancaires d’importance
systémique à l’échelle nationale (EBISn) se conforment
d’ici décembre 2016. Le Comité de Bâle et le BSIF
s’attendent à ce que toute nouvelle banque désignée
à titre d’EBISm ou d’EBISn se conforme dans les trois
années qui suivent sa désignation. Au fil du temps, ces
principes seront déployés et représenteront les normes
minimales en matière de qualité des données et de
gouvernance qui s’appliqueront à toutes les institutions
bancaires et sociétés d’assurances réglementées.
1
Comité de Bâle sur le contrôle bancaire « Principes aux fins de l’agrégation des données sur les risques et de la notification des
risques » (BCBS 239)
Au-delà de la conformité 1
Au cœur des principes du Comité de Bâle
Selon les Principes aux fins de l’agrégation des données sur les risques et de la notification des risques,
du Comité de Bâle, les 14 principes visent quatre thèmes clés :
Thèmes clés
Principes du Comité de Bâle
Gouvernance et infrastructure
1.
Gouvernance
2.
Architecture de données et infrastructure
informatique
Capacités d’agrégation des données sur les risques
Pratiques de notification des risques
3.
Exactitude et intégrité
4.
Exhaustivité
5.
Actualité
6.
Adaptabilité
7.
Exactitude
8.
Représentativité
9.
Clarté et utilité
10. Fréquence
11. Distribution
Attentes de surveillance
12. Supervision
13. Actions correctives et mesures de supervision
14. Coopération entre autorités d’origine/d’accueil
Les principes aux fins de l’agrégation des données sur
les risques et de la notification des risques du Comité
de Bâle (les « principes RDAR ») établissent des attentes
sans précédent que chaque banque interprétera à sa
façon. Par exemple, si les banques sont supposées
posséder des capacités d’agrégation des données
sur les risques communes dans l’ensemble de leurs
systèmes, il n’y a pas une mesure particulière requise
pour exprimer différentes formes de risques. De même,
des caractéristiques comme l’exhaustivité, l’actualité,
l’adaptabilité et l’exactitude peuvent avoir plusieurs
significations lorsqu’elles s’appliquent à différents
risques.
2 Au-delà de la conformité
La granularité des données et des rapports sur le crédit,
le marché et les risques opérationnels varie elle aussi. En
fait, ce besoin pour différents niveaux de détails peut
amener les banques à prendre en considération leur
infrastructure de modélisation des risques lorsqu’elles
conçoivent leur processus de notification des risques. À
moins que les banques n’améliorent leur infrastructure
d’agrégation des données sur les risques, elles ne seront
pas en mesure de documenter et de valider pleinement
leurs capacités d’agrégation des données sur les
risques et de notification des risques pour répondre aux
exigences.
Des défis semblables se présentent en ce qui concerne
l’obligation pour les banques de déployer des systèmes
pouvant produire des données sur les risques agrégées
dans des périodes de tension ou de crise. Une
agrégation efficace des données sur les risques en
période de tension ou de crise pourrait sous-entendre
un besoin de bâtir une « surcapacité » relativement à
des besoins normaux. En même temps, les capacités
d’agrégation devront demeurer souples pour répondre
aux demandes ponctuelles. Par conséquent, les
banques doivent trouver un équilibre entre l’utilisation
de capacités automatisées, essentielles à l’actualité et
à l’exactitude, et le recours à des processus manuels
ponctuels.
Il ne suffit pas de cocher des cases
Les auto-évaluations initiales complétées par les
EBISm font état de la dépendance par rapport aux
processus manuels et des imperfections importantes de
l’infrastructure informatique. La conformité au principe
de l’architecture de données et de l’infrastructure
informatique a obtenu le plus faible résultat, tandis
que celui de la distribution de rapports a été le plus
élevé2. Le fait que les principes de gouvernance et
d’infrastructure informatiques constituent des «
conditions préalables pour assurer la conformité aux
autres principes », soulève des questions quant à la
valeur et à la fiabilité des rapports de risques si les
systèmes qui les produisent ont des limites.
• libérer vos gestionnaires des tâches de traitement et
de consolidation de données pour les amener plutôt
à faire de l’analyse;
• améliorer la prise de décision en rehaussant
l’intégrité des données;
• créer de nouvelles perspectives pour la prise de
décision à l’échelle de l’entreprise plutôt que
d’adopter une approche cloisonnée;
• mettre à jour avec une facilité relative les données
de l’entreprise (données financières et de trésorerie).
Étant donné la nature ambiguë des principes du Comité
de Bâle, les banques pourraient être tentées d’adopter
uniquement les normes minimales de conformité dans
la conception de leurs principes aux fins de l’agrégation
des données sur les risques et de la notification des
risques. Toutefois, cette approche minimaliste pourrait
s’avérer inappropriée. Lorsque nous examinons la
question du point de vue d’une entreprise, les initiatives
prescrites par les principes RDAR créent une occasion
de libérer le pouvoir stratégique des données d’une
banque. En améliorant vos politiques de données sur les
risques, en normalisant vos processus et en adoptant
l’automatisation, vous pouvez :
Les banques doivent analyser avec soin toutes ces
implications et conditions préalables afin de les intégrer
dans leurs plans de mise en œuvre.
2
Comité de Bâle sur le contrôle bancaire « Principes aux fins de l’agrégation des données sur les risques et de la notification des risques » (BCBS 239)
Au-delà de la conformité 3
Sans cette perspective stratégique, les modifications requises aux termes des principes RDAR seront perçues comme
des coûts réglementaires et ne seront vraisemblablement pas adoptées en pratique. Ce concept a été relevé par
le Comité de Bâle qui, dans son rapport d’étape, a suggéré que les autorités de contrôle « songent à rehausser
leurs efforts pour intégrer entièrement les principes dans leurs programmes de contrôle »3 . Grâce à la perspective
stratégique, les modifications peuvent aider à répondre aux besoins de conformité réglementaire et à transformer
les données en actif stratégique. L’enjeu est d’obtenir l’appui de la haute direction, de concevoir un plan qui aborde
la conformité du point de vue de l’entreprise et de bâtir une base de travail solide pour la transformation des
données de l’entreprise. Examinons maintenant chacun de ces éléments.
4 Au-delà de la conformité
3
1
2
3
Amener la haute direction à
reconnaître les données comme
un actif stratégique
Puisque différents secteurs de
la banque, outre le service de
gestion des risques, fournissent et
transforment les données sur les
risques, ces dernières deviennent
particulièrement complexes à
gérer. Voilà pourquoi il est essentiel
que la direction à l’échelle de
l’entreprise adhère au concept
avant que les banques puissent
apporter les modifications requises
pour se conformer aux principes
RDAR. À mesure que les décisions
et les modifications relatives à un
programme RDAR atteignent les
premières lignes, les gestionnaires
des équipes commerciales et
technologiques doivent défendre la
véritable valeur des données sur les
risques. En adhérant rapidement à
cette pratique, les banques seront
en meilleure position pour concevoir
des plans de mise en œuvre des
principes RDAR qui sont efficaces et
réalisables, non seulement au sein
du service de la gestion des risques,
mais aussi dans l’ensemble de
l’organisation.
Adopter une perspective
d’entreprise en planifiant en
fonction d’une valeur stratégique
plutôt qu’en fonction d’un degré
minimum de conformité
La conception d’un plan de mise en
œuvre et de conformité aux principes
est une initiative d’envergure.
Pour libérer entièrement la valeur
stratégique de vos données, il est
bien avisé de lancer d’abord un plan
pour les données sur les risques et
de l’appliquer par la suite à tous
les autres types de données. Trop
souvent, les grandes institutions
bancaires entreprennent des
initiatives d’importance cloisonnées
sans porter attention à leurs
répercussions potentielles dans les
autres secteurs de l’organisation.
Cela se traduit souvent par une
duplication injustifiée de temps
et d’argent. Pour éviter cette
situation, les banques doivent
adopter une approche stratégique
à la mise en œuvre en donnant une
définition suffisamment élargie aux
principes RDAR pour les appliquer
à toutes les formes de données,
pas seulement aux données sur les
risques. En adoptant une perspective
d’entreprise, vous pouvez dépasser
la seule question de conformité
et libérer la pleine valeur de vos
données à l’échelle de l’organisation.
Établir une base qui résout les
données sur les risques une fois
pour toutes et s’applique
à toute l’entreprise
Cette solution requiert également
d’adopter des outils et des
accélérateurs à l’échelle de
l’entreprise. De cette façon, la
base du programme s’applique
autant aux données sur les risques
qu’aux données financières
ou aux données sur les clients.
Essentiellement, les données sur
les risques peuvent être perçues
comme le programme pilote
d’une initiative plus vaste et plus
utile pour optimiser les données
à l’échelle de la banque. Dans
la mesure du possible, il faut
rechercher des occasions de tirer
profit des outils et des pratiques
en cours, particulièrement
lorsque l’adhésion des utilisateurs
est acquise et que des leçons
fondamentales sont apprises.
Comité de Bâle sur le contrôle bancaire « Progress in adopting the principles for effective risk data aggregation and risk reporting » (BCBS 268)
Ajouter de la valeur à l’entreprise
À
la suite d’importantes analyses, le Comité de Bâle a
constaté que les activités actuelles d’agrégation des
données sur les risques et de notification des risques
dans plusieurs institutions financières sont extrêmement
variées et offrent d’innombrables possibilités de
dévaluer, de corrompre, de perdre ou d’acheminer
incorrectement les données, ce qui nuit à la prise de
décisions d’affaires de qualité en temps opportun.
Heureusement, les principes RDAR du Comité de Bâle
fournissent aux banques un cadre qui peut être utilisé
pour résoudre ce problème à la source. Toutefois, pour
le faire efficacement, les banques doivent comprendre
la futilité de mettre en œuvre les nouveaux principes
RDAR d’une façon décentralisée; cette approche à ce
titre ne parvient pas à procurer le contexte nécessaire
pour traduire les principes en activités commerciales
et de gestion des risques. Par contre, une approche
centralisée offre des avantages de constance et de
contrôle, tout en réduisant le fardeau relatif aux
données pour ceux que les génèrent ou les utilisent
dans le cours de leurs fonctions.
En adoptant ce type d’approche centralisée, il
faut un engagement en matière de leadership et
d’investissement. Les quatre étapes ci-dessous
peuvent aider à simplifier la mise en œuvre :
• Commencer par déterminer les exigences de
l’organisation en matière de renseignements et à
définir son appétit pour le risque, les mesures clés
et les rapports requis (ou désirés) par le conseil
d’administration et la haute direction;
• Traduire ces définitions pour répondre aux besoins
opérationnels et de notification des fonctions de
risques et des unités d’exploitation, par exemple,
pour la tolérance aux risques, les limites de crédit et
de négociation;
• Convertir ces besoins en étapes de mise en œuvre
dans un cadre de gestion des données;
• Résoudre les lacunes décelées en matière de
gestion des données et utilisant une combinaison
de modifications aux processus d’affaires et
à la technologie. Ceci pourrait nécessiter des
modifications à l’architecture des données sur les
risques.
Peu importe votre approche à la mise en œuvre, il est essentiel de ne pas percevoir cette
tâche comme étant uniquement un exercice de conformité réglementaire. Les principes RDAR,
lorsqu’ils seront intégrés à toute l’organisation, devraient permettre d’atteindre une capacité
supérieure en matière de données qui génèrent des avantages qui vont bien au-delà de la
notification des risques. D’une façon idéale, le résultat obtenu est une source de données
unique bien gérée, centralisée et fiable, qui permet des rapprochements avec le grand livre
général et qui ajoute de la valeur à l’entreprise. D’un point de vue commercial, les banques
peuvent réduire ou éliminer la redondance des activités en silos, réaliser des économies et tirer
profit d’une plateforme souple et évolutive, et rehausser grandement la gouvernance et la
gestion des risques.
Au-delà de la conformité 5
Prochaines étapes
Pour plus de renseignements sur les principes RDAR du Comité de Bâle et sur les avantages d’une mise en œuvre
à l’échelle de l’entreprise, veuillez communiquer avec :
Azer Hann
Associé
Leader de la gestion du
capital et des risques
416-601-5777
[email protected]
Gord Kilarski
Directeur de service
Leader de l’analytique
des risques
416-601-5677
[email protected]
www.deloitte.ca
Deloitte, l’un des cabinets de services professionnels les plus importants au Canada, offre des services dans les domaines de la
certification, de la fiscalité, de la consultation et des conseils financiers. Deloitte S.E.N.C.R.L./s.r.l., société à responsabilité limitée
constituée en vertu des lois de l’Ontario, est le cabinet membre canadien de Deloitte Touche Tohmatsu Limited.
Deloitte désigne une ou plusieurs entités parmi Deloitte Touche Tohmatsu Limited, société fermée à responsabilité limitée par garanties
du Royaume-Uni, ainsi que son réseau de cabinets membres dont chacun constitue une entité juridique distincte et indépendante.
Pour obtenir une description détaillée de la structure juridique de Deloitte Touche Tohmatsu Limited et de ses sociétés membres, voir
www.deloitte.com/ca/apropos.
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.14-0036T