1
Présentation à l’EIFR
25 mars 2014
2
Contexte BCBS 239
■ Les établissements font face depuis les cinq dernières années aux nombreux changements
réglementaires visant à renforcer la résilience du secteur:
exigences accrues en termes de la gouvernance et de la gestion de l’appétit au risque en
veillant à la cohérence de la gestion au niveau consolidé et dans les métiers
exercices récurrents de stress tests pour les superviseurs mais aussi l’intégration de
stress testing dans le pilotage interne du capital et des métiers
réglementations favorisant l’intermédiation par les chambres de compensation des
opérations de marché (EMIR)
renforcement des exigences en termes de capital et de liquidité (CRR / CRD 4)
évolution des normes comptables IFRS
mise en place des plans de redressement et de résolution (‘PRR’ ou ‘Living wills’)
■ Ces évolutions réglementaires sont accompagnées des demandes accrues en termes de nombre
de reporting mais aussi de la granularité des informations présentées:
à destination des régulateurs: COREP, FINREP, FSB Reporting, Asset Quality Review
(AQR) en Europe ou le Comprehensive Capital Analysis and Review (CCAR) aux États-
Unis
mais aussi en interne pour la meilleur gestion transverse du capital, liquidité et rentabilité
et la meilleure transparence et traçabilité des informations communiquées au management
Les établissements
doivent s’adapter pour
répondre aux
exigences accrues de
la supervision
Les reportings produits
doivent être cohérents
par filière et entre la
vision Groupe et la
vision des métiers
3
Objectifs de BCBS 239
■ Afin d’aider les banques à améliorer des capacités d’agrégation des données risques, le Comité de Bâle sur le contrôle
bancaire (BCBS) a publié le 9 janvier 2013 des recommandations (dites BCBS 239) stipulant 14 principes qui visent à
renforcer la capacité des banques à agréger les données risques et à améliorer les pratiques de reportings des risques à
l’intérieur des établissements
■ Parmi ces principes, 3 principes concernent les autorités de contrôle et 11 principes concernent les G-SIBs
■ Les objectifs principaux étant d’inciter les banques à:
‒ Améliorer l’infrastructure IT utilisées pour les reportings clés, notamment au conseil d’administration et au senior
mangement
‒ Améliorer la gestion des risques et les processus de prise de décision à travers les institutions et de leurs entités
‒ Diminuer les pertes liées aux éventuelles faiblesses de la gestion des risques
‒ Améliorer la rapidité de la disponibilités des informations
‒ Améliorer la qualité du planning stratégique et les capacités à gérer les risques liés au développement de nouveaux
produits et services
■ Les G-SIBs devront respecter ces Principes d’ici à janvier 2016. En réponse à ces recommandations, BNP Paribas a mis
en place au niveau Groupe le Programme “RaDAR - Risk Data Aggregation and Reporting” couvrant une évaluation de
conformité du Groupe et la définition des standards à implémenter dans le Groupe en conformité aux principes BCBS
Établissements
bancaires d’importance
systémique au niveau
mondial (G-SIBs)
Niveau Groupe et
Individuel (entités)
Modèles de gestion
interne des risques
Processus de gestion
des risques
Risques de marché,
Liquidité, Contrepartie,
Crédit et Opérationnel
Périmètre
Deadline pour la conformité
aux principes
9 janvier 2013 1er Juillet 2013 1er janvier 2016
Publication 1ère auto-évaluation
soumise au régulateur
2ème auto-évaluation
3 juin 2014
Quand
4
Les 14 Principes BCBS
Gouvernance et
infrastructure
= Un dispositif solide
Capacités
d’agrégation des
données sur les
risques
= donnent une
représentation fiable
des risques
Amélioration des
pratiques des
reportings risques
= les bonnes
informations sont
présentées aux bons
destinataires au bon
moment
Surveillance
prudentielle, outils et
coopération entre
autorités de contrôle
= Assurer le respect et
l’application des
principes précédents
par les G-SIBs
Gouvernance 1
Infrastructure
informatique 2
Exactitude et intégrité 3
Exhaustivité 4
Actualité 5
Adaptabilité 6
Exactitude 7
Représentativité 8
Clarté et utilité 9
Fréquence 10
Distribution 11
Surveillance 12
Actions correctives et
mesures prudentielles 13
Coopération entre
autorités prudentielles 14
La gouvernance risques doit couvrir l’agrégation des données et le reporting risques
Les systèmes informatiques doivent être conçus et implémentés pour renforcer les capacités d’agrégation des
données et reporting risques, non seulement en situation normale mais aussi en période de crise
Les données doivent être exactes et fiables. Aussi l’agrégation des données devrait, pour l’essentiel, être
automatisée, afin de réduire au minimum la probabilité d’erreurs
Les données devraient être exhaustives et disponibles par “ligne de métier, entité juridique, type d’actif, secteur,
région et autre“ pour la gestion des risques
Les données doivent être fraîches, produites dans les délais appropriés au risque - par ex., données rapidement
disponibles pour une vision consolidée grands risques sur un groupe et les indicateurs risque de liquidité
Les données produites doivent permettre de faire face à toutes sortes de demandes de reporting ad hoc sur sa
gestion des risques, notamment en période de crise
Les rapports risques doivent être précis, faire l’objet d’une réconciliation et d’une validation et également être
documentés (standards, processus, gouvernance pour exactitude)
Les reportings doivent couvrir tous les risques (par ex., crédit, marché, liquidité, opé), tous les agrégats (par ex.,
contrepartie, entité) et les mesures de risques clés (par ex., Cap Rég et Cap Eco)
Les reportings sur la gestion des risques devraient être clairs et concis tout en assurant un équilibre entre détails /
agrégation et analyse quantitative / qualitative
La fréquence doit être fonction des besoins des destinataires / doit augmenter en période de crise
Il faudrait distribuer les rapports sur la gestion des risques aux parties concernées en veillant à préserver leur
caractère confidentiel
Les autorités de contrôle doivent examiner et évaluer périodiquement la conformité d’une banque aux onze Principes
qui précèdent
Les autorités de contrôle doivent exiger d’une banque dont les capacités d’agrégation des données et les pratiques de
reportings sont insuffisantes ou inadéquates qu’elle prenne rapidement des mesures efficaces pour y remédier. Elles
doivent pouvoir utiliser une palette d’outils, notamment ceux prévus par le deuxième pilier
Les autorités de contrôle doivent coopérer avec leurs homologues pour des fins de surveillance et d’examen des
Principes, ainsi que de la mise en œuvre d’éventuelles mesures correctives
Pri
ncip
es p
ou
r le
s É
tab
lisse
men
ts G
-SIB
s
Pri
ncip
es p
ou
r le
s
rég
ula
teu
rs
5
Résultats du questionnaire BCBS
Participants au
Questionnaire
• 30 G-SIBs ont répondu au questionnaire, présentant ainsi leurs niveaux de conformité aux
11 principes
Principaux
constats
• Le comité de Bâle précise que le niveau de conformité aux principes de reporting peut être
surévalué:
- Les banques ont attribué généralement un rating meilleur pour les principes de
reporting que pour les autres principes (agrégation des données), ce qui peut
paraître incohérent
• Les faiblesses les plus significatives qui ont été identifiées:
- Le périmètre a été essentiellement limité au niveau Groupe et n’a pas assez inclut
l’évaluation au niveau Lignes métiers et entités
- Les banques doivent améliorer leur Système d’Informations Risques et leur
gouvernance
- Les banques doivent également fournir des efforts significatifs pour améliorer
l’exactitude, l’exhaustivité, l’actualité et l’adaptabilité des données risques
- L’analyse a été axée sur la qualité des reportings destinés au conseil
d’administration et à la direction générale (excluant ainsi le middle management)
- Impact des erreurs des données et processus sur la fiabilité et l’utilité des reportings
risques
• Les autorités de contrôle vont se focaliser sur les points suivants durant les 2 prochaines
années
- Bien intégrer tous les principes dans le cadre de leur programme de surveillance
- Tester les capacités des G-SIBs à agréger/produire les reportings en situation de
crise (incl. Résolution)
- Conduire des revue thématiques sur les exigences évaluées avec une faible note
Réponses des G-SIBs au questionnaire BCBS (BCBS 268)
Le comité de Bâle a publié un rapport sur les progrès attendus par les établissements bancaires dans la mise en conformité par
rapport aux principes. Le document présente plus particulièrement les réponses des banques au questionnaire (87 questions)
0
1
2
3
4 Governance
Architecture & IT
Infrastructure
Data Aggregation - Accuracy &
Integrity
Data Aggregation - Completenes
s
Data Aggregation -
Timeliness
Data Aggregation - Adaptability
Reporting - Accuracy
Reporting - Comprehensi
veness
Reporting - Clarity &
Usefulness
Reporting - Frequency
Reporting - Distribution
BCBS 268
6
BNP Paribas a lancé le programme RaDAR
Lancement
Priorités
Autres
demandes
réglementaires
(AQR et CCAR)
Points
d’attention
Programme
RaDAR
Pour être conforme aux principes BCBS d’ici début 2016, le programme a identifié trois champs d’action
prioritaires:
• Stratégie d’infrastructure informatique: homogénéiser et pérenniser les schémas directeurs du Groupe
en conformité avec les principe de BCBS, p.ex. automatisation de la chaîne d’agrégation et reporting
• Référentiels: s’assurer de l’unicité des informations dans les différents reportings du Groupe notamment
sur les tiers/groupes d’affaires et titres
• Qualité et appropriation des données: renforcer la culture de la qualité des données et de l’appropriation
des données critiques
• Les actions et conséquences du Programme RaDAR seront mieux mesurées et évaluées par les
travaux en lien avec les projets réglementaires en cours dans le Groupe l’Asset Quality Review (AQR) en
Europe et le Comprehensive Capital Analysis and Review (CCAR) aux États-Unis
• Périmètre de reportings et des données très large
• Nombre important des interlocuteurs au niveau Groupe et dans les fonctions, Pôles et métiers
• Transversalité et interdépendance de certains sujets (données risques, comptable et liquidité)
• Délais très serrés pour assurer la conformité en 2016
• La première auto-évaluation soumise par BNPP au régulateur, lui a permis d’identifier les principales
difficultés au regard des principes édictés par BCBS, d’identifier et de prioriser les programmes internes
existants et aussi de lancer des actions supplémentaires pour être conforme à ces principes
• Ainsi le Programme RaDAR (Risk Data Aggregation and Reporting) a été lancé pour répondre à ces
exigences réglementaires mais aussi pour en faire un programme concret pour la banque dont les
ambitions vont au-delà de 2016
• Le Programme RaDAR intègre également dans sa démarche les Pôles et les entités matérielles du
Groupe pour des fins de conformité avec les principes BCBS
7
Le programme couvre tous les risques matériels de BNPP et l’ensemble des reportings risques
Source: Document de Référence 2013
Le périmètre des risques
couverts est défini comme
suivant:
• Tous les risques matériels
(incluant la gestion Actif-
Passif):
• Risque de Crédit
• Risque de Contrepartie
• Risque de Marché
• Risque de participations
sur actions
• Risque Opérationnel
• Risque de Liquidité
• Les risques de taux relatifs
aux activités
d’intermédiation bancaire
To
us le
s r
isq
ue
s m
até
rie
ls
Programme RaDAR – définition du périmètre
8
Priorités du Programme RaDAR - Approche Top-down
Stratégie IT
Le Programme vise notamment de permettre une lecture partagée des existants d’architecture IT et
enjeux fonctionnels des trois filières (Finance, Risque, ALM) qui contribuent au reporting afin d’en renforcer
la cohérence. Dans un premier temps, la démarche sera mise en place entre les fonctions centrales, puis
étendue aux Pôles et entités du Groupe.
Référentiels
L’un des objectifs du Programme est d’assurer la cohérence et la qualité des différents reportings
existants au niveau des fonctions Groupe (Finance, risque, ALM). Pour cela des informations critiques
(tiers, titres, organisation et autres) utiles pour les Reportings risques doivent provenir d’une source unique
et partagée.
Qualité des
données
Le Programme vise l’amélioration de l’appropriation de la culture des risques et de la qualification des
données à la source pour mieux capitaliser sur les systèmes de reportings existants au sein du Groupe. Cette
démarche vise à améliorer la qualité des données risques qui sont critiques pour les reportings risques et
donc pour la prise de la décision par le Senior management.
Les données critiques qui contribuent au reporting au management doivent répondre aux exigences renforcées
autour de 5 axes suivants:
• Normes
• Processus
• Contrôles
• Chaîne de management
• Appropriation de l’utilisateur
Le respect de ces exigences est essentiel sur l’ensemble de la chaîne de l’agrégation et de la production de
reporting: de la création de la donnée à la source jusqu’à l’utilisateur final. A titre d’exemple, la donnée définie
dans le Groupe doit être implémentée de façon cohérente dans le système opérationnel et dans le système de
reporting final..
9
Nouveau questionnaire BCBS de l’ACPR
Participants au
Questionnaire • G-SIBs doivent répondre au questionnaire (y compris BNPP et les autres SIBs françaises)
Principaux
constats
• L’exercice 2014 est une version condensée du questionnaire de 2013 (35 vs. 87 questions).
• 32 questions sont identiques à celles émises dans le questionnaire de 2013.
Ces 32 questions sont estimées essentielles pour la conformité aux 11 principes.
Ces questions sont destinées à traiter les zones dont le niveau de conformité a été jugé insuffisant
ou faible suite aux réponses au premier questionnaire (Gouvernance des risques, Infrastructure IT,
Exactitude et Adaptabilité des données et reportings risques)
• 3 questions supplémentaires portent plus globalement sur les projets IT et qualification des
données
• Le régulateur exige que les évaluations soumises pour ce questionnaire soient justifiées
documentées (définition du périmètre en terme des entités ou types de risques couverts, plans
d’actions..)
Deadline • La réponse au nouveau questionnaire doit être soumise le 3 juin 2014
Dans le cadre du suivi de la mise en œuvre des principes BCBS, le régulateur français ACPR a soumis un nouveau
questionnaire le 12 mars 2014 pour évaluer les progrès réalisés par les établissements bancaires en vue de la conformité
avec les 11 principes en 2016.
10
Conclusion
• Transformer les contraintes réglementaires en un projet concret avec un sens pour la
banque
• Une approche collaborative à maintenir pour traiter les sujets transverses
• Une approche structurante qui permet d’assurer la conformité mais aussi d’aligner les
projets existants, d’initier de nouveaux projets et d’éviter une approche en silo
• Un Programme conçus par les équipes opérationnelles pour une appropriation et une
utilisation quotidienne dès que possible
• Toutes les lignes métiers seront fortement impliquées dans le cadre de ce Programme
11
Annexes
12
30 G-SIBs soumises aux exigences BCBS 239
13
Typologie des risques
Typologie des risques
Risque de Crédit Le risque de crédit est défi ni comme la probabilité que l’emprunteur ou une contrepartie ne remplisse pas ses obligations conformément aux conditions convenues. L’évaluation de cette probabilité de défaut et du taux de recouvrement du prêt ou de la créance en cas de défaut est un élément essentiel de l’évaluation de la qualité du crédit.
Risque de Contrepartie
Le risque de contrepartie est la manifestation du risque de crédit à l’occasion d’opérations de marché, d’investissements, et/ou de règlements. Ces opérations comprennent les contrats bilatéraux, c’est-à-dire de gré à gré (over-the-counter, OTC) qui peuvent exposer la Banque au risque de défaut de sa contrepartie. Le montant de ce risque (exposition dans la suite du document) varie au cours du temps avec l’évolution des paramètres de marché affectant la valeur potentielle future des transactions concernées.
risque de Marché Le risque de marché est le risque de perte de valeur provoqué par une évolution défavorable des prix ou des paramètres de marché, que ces derniers soient directement observables ou non.
Risque de Participations sur
actions
Les expositions liées aux participations résultent des détentions directes/indirectes d'intérêts dans les actifs et les revenus d'une entreprise commerciale ou d'une institution financières non consolidées. Ce risque est couvert sous le risque de marché relatif aux activités bancaires.
Risque Opérationnel Le risque opérationnel est le risque de perte résultant de processus internes défaillants ou inadaptés ou d’événements externes, qu’ils soient de nature délibérée, accidentelle ou naturelle. Sa gestion repose sur l’analyse de l’enchaînement cause – événement – effet.
Risque de Liquidité et de Refinancement
Le risque de liquidité et de refinancement est le risque que la Banque ne puisse pas honorer ses obligations à un prix acceptable en une place et une devise données.
Risque de Gestion Actif-Passif
Le risque de gestion actif-passif est le risque de perte de valeur lié aux décalages de taux, d’échéances et de nature entre les actifs et passifs. Pour les activités bancaires, ce risque s’analyse hors du portefeuille de négociation et recouvre essentiellement ce qui est appelé le risque global de taux. Pour les activités d’assurance, ce risque comprend également le risque de décalage lié à l’évolution de la valeur des actions et des autres actifs du fonds général tels que les actifs immobiliers.