La BCE a émis le 3 mai 2024 la version finale du guide RDAR « risk data aggregation and reporting ». Cette publication est l’aboutissement du processus de consultation lancé en juillet 2023 et entre dans l’intensification de la surveillance prudentielle indiquée par la BCE dans ses priorités 2024-2026.
La diffusion de ce guide fait suite à un constat d’efforts insuffisants déployés par les principales banques pour se conformer aux principes BCBS239. Depuis 2016, année d’entrée en vigueur de BCBS239, la BCE a mené des revues thématiques et inspections sur site auprès des principales banques européennes. En plus des recommandations émises, des bonnes pratiques observées lors des revues thématiques ont été diffusées en mai 2018 pour mieux orienter les banques dans leur processus de déploiement du dispositif. Malgré cette initiative, la BCE a conclu en juillet 2023 que des défaillances structurantes subsistent et que les niveaux de conformité des principales banques concernées sont inférieurs aux attentes.
Le guide couvre sept domaines prioritaires :
Ce guide n’apporte pas de nouvelles exigences mais plutôt des précisions pour clarifier les obligations découlant des principes BCBS239. Deux éléments majeurs méritent toutefois d’être mentionnés :
Du côté de la BCE, ces précisions constituent les exigences minimums attendues en termes de dispositif d’agrégation des données et notifications des risques lors de leurs inspections sur site. Elles doivent ainsi être déployées dans les meilleurs délais.
Du côté des certaines banques, la mise en conformité à ces éléments nécessite le déploiement de plans d’actions complexes. Ces plans d’actions peuvent impacter différents niveaux de l’organisation (central versus local, métiers, support, …) et impliquer une mobilisation de moyens conséquents sur une certaine durée.
L’implication du management (direction générale et conseil d’administration) fait partie des défaillances structurantes ayant amené à la publication de ce guide. Les exigences énumérées sur ce domaine représentent le tiers de l’ensemble des exigences contenues dans le guide.
Selon ce guide, la direction générale et le conseil d’administration sont les premiers responsables de la mise en œuvre des exigences BCBS239 dans l’ensemble du groupe. Cette responsabilité se décline en trois volets majeurs :
Revue et validation du cadre
Pilotage et suivi de la mise en conformité
Adéquation des moyens mis en œuvre
La direction générale et le conseil d’administration établissent des objectifs de conformité clairs pour le RDAR. Ils doivent ainsi être activement impliqués dans la revue des politiques groupe et s’assurer de leur diffusion au niveau local. Ils sont les premiers garants des comitologies, des rôles et responsabilités, ainsi que du dispositif de pilotage global.
Le cadre couvre également l’identification des critères d’applicabilité des principes BCBS239 en termes de périmètres de risques et de reportings ainsi que d’organisation (lignes métiers et entités). Ces critères sont indispensables pour fixer l’ambition en matière de conformité aux exigences de cette réglementation.
De manière plus opérationnelle, la direction générale et le conseil d’administration doivent exprimer leurs attentes en matière de nature d’information et de qualité des données leur étant remontées en période normale et en période de crise. Ces critères de qualité portent sur l’exhaustivité, l’exactitude et l’actualité des données. Dans la pratique, le rôle de la direction générale et du conseil d’administration se limiterait à la validation des critères sur la base d’indicateurs leur étant soumis.
La direction générale et le conseil d’administration sont responsables du déploiement effectif de la comitologie. Ce déploiement peut se matérialiser par l’intégration des sujets BCBS239 dans l’agenda des comités existants :
Comité exécutif,
Comité des contrôles internes,
Comité des risques,
Conseil d’administration.
La direction générale et le conseil d’administration doivent assurer le pilotage des indicateurs de conformité du dispositif aux principes BCBS239 :
Avancement du déploiement de la politique à l’ensemble des entités et lignes métiers du groupe
Niveau de conformité aux principes BCBS239 : il s’agit de l’écart entre les exigences de la réglementation et l’état du dispositif mis en place par l’institution financière. Dans la pratique, ces indicateurs peuvent être produits à travers soit des « self-assessment » réalisés par les premières lignes de défense et revus par la seconde ligne de défense, soit des validations indépendantes réalisées par des cabinets externes. La majorité des banques de la place produisent ces indicateurs sur une fréquence annuelle.
Avancement des plans de remédiations : des recommandations peuvent découler d’inspection sur site des régulateurs, de revues indépendantes, de revues des troisièmes et deuxièmes lignes de défense.
En outre, la direction générale doit s’assurer que les niveaux de qualité des données et leurs impacts en matière de limitation des métriques de pilotage des risques leurs soient remontés. Il en est de même des contraintes dans le dispositif (technique, organisationnel ou juridique) impactant l’agrégation des données à leur destination. Ces éléments doivent faire partie intégrante du dispositif de gestion des risques de la structure.
La direction générale et le conseil d’administration doivent également se prononcer sur l’adéquation des informations qui leurs sont remontées conformément à leurs exigences dans le cadre de leur prise de décision. Les banques peuvent capitaliser sur des dispositifs existants tels que les questionnaires d’auto-évaluation adressés au conseil d’administration.
Pour renforcer l’implication la direction générale et le conseil d’administration dans le dispositif de déploiement et de pilotage, ils peuvent déléguer le suivi opérationnel des travaux à un ou deux membres du comité exécutif de la direction générale. La direction générale et le conseil d’administration des entités au sein d’un groupe assument ces responsabilités sur le périmètre de leur entité.
La BCE a rappelé la nécessité de sensibiliser la direction générale et le conseil d’administration sur le contenu des exigences en matière d’agrégation des données et notifications des risques portées par BCBS239. Elle exige ainsi des connaissances et expériences suffisantes en matière de gestion des données, de l’informatique et de la gestion des risques. Dans certaines mesures, des formations régulières peuvent être nécessaires.
Il est à noter que la délégation du pilotage du dispositif à un ou deux membres du comité exécutif de la direction générale ne dispense pas le reste du management de leurs obligations vis-à-vis des exigences de BCBS239.
La direction générale et le conseil d’administration doivent s’assurer de l’adéquation des moyens matériels, financiers et humains mis à disposition. La mention de cette exigence à maintes reprises dans le texte de RDAR matérialise l’attente forte des régulateurs sur l’engagement des moyens nécessaires.
L’ensemble de ces rôles et responsabilités doit être inscrit dans les documents cadre (politique ou procédure) du groupe ou de l’entité concernée.
Dans ses priorités prudentielles pour 2024-2026, la BCE a mentionné l’intensification du suivi par les régulateurs de la mise en conformité aux exigences RDAR. L’instauration d’une « production de rapport de gestion sur la gouvernance et la qualité des données »1 matérialise la volonté de la BCE à renforcer la responsabilisation du management dans le dispositif. La direction générale, devant apposer sa signature dans ce rapport, engage sa responsabilité sur le contenu.
Selon le niveau de défaillance constatée, les régulateurs peuvent avoir recours à des mesures disciplinaires telles que mentionnées dans les résultats agrégés du SREP 2023 « À compter de 2024, un mécanisme structuré de remontée d’informations susceptible d’inclure des procédures d’exécution et de sanction sera de plus en plus appliqué ».
Les régulateurs attendent ainsi un engagement fort de la direction générale et du conseil d’administration sur les remédiations des défaillances majeures. Les non-atteintes des jalons associés ou des erreurs manifestes sur les reportings produits peuvent enclencher des mesures correctives, des sanctions ou des exigences en fonds propres supplémentaires. Dans certains cas les régulateurs peuvent être amenés à reconsidérer la capacité de la direction générale et du conseil d’administration à assurer leurs rôles respectifs. Dans des cas extrêmes, ils peuvent même aller jusqu’à une injonction à leur démettre de leur fonction.
L’équipe PwC dispose d’une grille d’analyse prédéfinie pour évaluer la conformité de votre organisation aux exigences relatives à l’implication de la direction générale et du conseil d’administration. A titre illustratif, ci-après un extrait de cette grille :
La direction générale et le conseil d’administration ont-ils été associés à la validation des politiques de gouvernance et de la qualité des données ?
La direction générale et le conseil d’administration ont-ils émis leurs exigences de qualité des données des rapports qu’ils reçoivent ?
Les rapports transmis à la direction générale et le conseil d’administration contiennent-ils des limitations liées à la qualité des données ?
Etc.
L’équipe PwC se tient à votre disposition pour vous partager l’analyse des autres domaines du guide RDAR.
L’équipe peut également vous accompagner pour :
Sensibiliser votre direction générale et conseil d’administration
Evaluer et piloter le niveau de conformité de votre organisation
Suivre et instruire vos recommandations
1 Priorités prudentielles pour 2024-2026 de la BCE « questionnaire annuel visant à assurer un niveau de responsabilité adéquat des organes de direction des banques en matière de déclarations prudentielles, financières et des risques internes »