Où en est BCBS 239 ?

Trois ans après la date théorique d’application des principes dits « BCBS 239 » sur l’agrégation des données de risques dans les reportings bancaires, force est de constater que le résultat est insatisfaisant. À ce jour, aucune des grandes banques systémiques n’est en mesure d’appliquer ces principes [1] .

De quoi parle-t-on ?

À l’échelle mondiale, les principes BCBS 239 (Basel Committee on Banking Supervision) ont été publiés en 2013 après la crise financière de 2008 qui avait montré que la capacité des banques à gérer les risques en période « stressée » était insuffisante. L’architecture informatique d’alors et les processus métiers associés ne suffisaient pas à la gestion globale des risques (de crédit, de marché, de liquidité, etc.). Ainsi la capacité de ces établissements à prendre des décisions en temps voulu a été largement compromise, ce qui a eu des conséquences catastrophiques pour le secteur financier et l’économie réelle dans son ensemble. Le Comité de Bâle a donc publié 14 principes qui incitent les banques à produire des reportings réglementaires plus fiables et à améliorer la qualité de leurs données. La date d’application de BCBS 239 était 2016 ; où en sommes-nous aujourd’hui ?

Des transformations considérables demandées aux banques

Les rapports les plus récents [2] dressent un état des lieux du projet réglementaire et les résultats sont « insatisfaisants ». Ils concluent : « La mise en œuvre complète des principes du BCBS ne sera probablement pas achevée dans un avenir proche, car les plannings de mise en œuvre de plusieurs institutions de crédit vont jusqu’à fin 2019 » et on parle aujourd’hui de 2021 pour certaines banques. Ces dernières n’ont pourtant pas ménagé leurs efforts, les programmes de transformation leur coûtant des centaines de millions d’euros. Alors que leur est-il reproché ?

Tout d’abord la gouvernance de la donnée présente encore des faiblesses : les rôles et responsabilités autour du contrôle de la qualité de la donnée ne sont pas clairement définis. L’infrastructure informatique ensuite et les entrepôts de données en silo nécessitent des refontes profondes et sont à l’heure actuelle encore inadaptés. Les systèmes sont hétérogènes entre les filiales, ce qui limite les capacités d’agrégation des données. Résultat : les processus manuels restent toujours nombreux, peu sûrs, chronophages et sources d’erreurs. En outre, ils requièrent beaucoup de ressources humaines. Les principes d’« adaptabilité » et de « fréquence » ne sont pas non plus toujours respectés : en période de crise, les banques ne sont pas en mesure de produire rapidement des rapports d’exposition aux risques. Pour prendre une métaphore aéronautique, les données ne remontent pas jusqu’au tableau de bord des pilotes de la banque. La situation devient ainsi très dangereuse en période de turbulence.

De nombreuses recommandations et bonnes pratiques sont présentes dans ces rapports parmi lesquelles : intégrer la gouvernance de la donnée dans le cadre global de la gestion des risques, mieux intégrer les données provenant des filiales étrangères, mettre en place des unités de contrôle de la qualité de la donnée partout dans la banque, identifier les données indispensables pour faire face à une crise, générer automatiquement des rapports sur les risques avec des données sources claires et fiables, etc.

Le Comité de Bâle mène cette année une nouvelle campagne d’évaluation auprès de 34 banques systémiques et publiera son prochain rapport mi-2020. Nous saurons alors si ces recommandations ont bien été suivies.

Une fatigue réglementaire ?

Dans le secteur, le BCBS 239 suscite manifestement une certaine lassitude, les banques s’efforçant depuis longtemps d’obtenir de la conformité sans directives précises de la part des autorités réglementaires. Les recommandations sont des « principes » qui laissent une marge d’interprétation assez importante : il n’y a pas un modèle imposé et une banque peut choisir de répondre à chacun de ces principes d’une manière qui lui est propre et qui lui semble correcte et adaptée à ses particularités (activités, organisation, historique SI, etc.). Le périmètre d’actions est extrêmement large : le but n’est pas une conformité à un élément particulier situé en bout de chaîne, mais vise l’entièreté de la chaîne, de la gouvernance jusqu’aux reportings finaux et couvre tout aussi bien le domaine comptable, les risques, le pilotage financier… Une conformité totale et parfaite est un chantier pharaonique.

Dans un contexte de déréglementation unilatérale aux États-Unis, les banques sont d’autant moins incitées à poursuivre leurs efforts pour se conformer à des principes qui n’ont pas de valeur contraignante.

Pourtant, tous ces efforts n’ont pas été vains et devront être prolongés. Ils s’inscrivent dans une logique de long terme, tous les établissements de crédit ayant compris que la donnée est le nouvel « or noir » du XXIe siècle. Ces recommandations doivent être prises comme des opportunités de se moderniser et de se prémunir contre une prochaine crise. Aujourd’hui, les institutions dites « data centric » avec l’usage des datalakes (lac de données) notamment devancent leurs concurrentes et sont d’ailleurs mieux valorisées, car elles savent exploiter ces données (par exemple en limitant le temps consacré à produire des reportings légaux et en améliorant l’efficacité opérationnelle). Nous assistons ainsi à l’avènement de l’ère de la donnée, celle-ci étant à la base des prochaines grandes transformations du secteur financier et de nos économies.