Articles


Juin

18

2021

LE COMITÉ DE BÂLE MET À JOUR LES PRINCIPES POUR UNE GESTION EFFICACE DU RISQUE OPÉRATIONNEL

Evelyne Ngnotue, 18/06/2021

1. Le contexte de la révision

1.1. Une révision des principes visant a resensibiliser les banques sur la correcte mise en œuvre des principes existants

Le Comité de Bâle a publié en 2003 une première version de ses principes pour une gestion efficace du risque opérationnel. Ces principes ont été révisés en 2011 pour intégrer les leçons tirées de la crise financière de 2007–2009.

En 2014, le Comité a procédé à un examen de la mise en œuvre de ces principes. Le but de cet examen était :
– d’évaluer dans quelle mesure les banques avaient mis en œuvre les principes
– d’identifier les lacunes importantes dans la mise en œuvre
– de mettre en évidence les pratiques émergentes et remarquables de gestion des risques opérationnels dans les banques qui ne sont pas actuellement couvertes par les principes

L’examen de 2014 a révélé que plusieurs principes n’avaient pas été correctement mis en œuvre et que des guidelines supplémentaires seraient nécessaires pour faciliter leur mise en œuvre dans les domaines suivants :
– les outils d’identification et d’évaluation des risques, y compris les auto-évaluations des risques et des contrôles (RCSA), les indicateurs de risque clés, les données externes sur les pertes, la cartographie des processus commerciaux, l’analyse comparative et le suivi des plans d’action générés à partir de divers outils de gestion des risques opérationnels
– les programmes et processus de gestion du changement (et leur suivi efficace)
– la mise en œuvre des trois lignes de défense, notamment en affinant l’attribution des rôles et des responsabilités
– la surveillance du conseil d’administration et du top management
– l’articulation de l’appétit pour le risque opérationnel et des déclarations de tolérance au risque dans le cadre du RAS (Risk Appetite Statement)
– les informations transparentes publiées sur les risques dans le cadre du pilier III

1.2. Une révision des principes visant à prendre en compte les thèmes insuffisamment couverts comme les risques ICT et la résilience opérationnelle

Le Comité a également reconnu que les principes publiés en 2011 ne saisissaient pas suffisamment certaines sources importantes de risque opérationnel, telles que celles découlant des risques liés aux technologies de l’information et de la communication (ICT), justifiant ainsi l’introduction d’un principe spécifique sur les risques liés aux ICT.

D’autres révisions ont été apportées pour assurer la cohérence avec le nouveau cadre de risque opérationnel dans les réformes de Bâle III.
Reconnaissant le potentiel accru de perturbations significatives des opérations bancaires en raison de pandémies, de catastrophes naturelles, d’incidents de cybersécurité destructeurs ou de défaillances technologiques, le Comité a également élaboré des principes pour la résilience opérationnelle.

2. Clarification du périmètre d’application du dispositif de gestion du risque opérationnel

La publication du comité de Bâle de mars 2021 redéfinit clairement les composantes du dispositif de gestion du risque opérationnel. Il s’agit :
– de la gouvernance
– de l’environnement de gestion des risques
– des technologies de l’information et de la communication
– de la planification de la continuité des activités
– de l’importance de la communication publique transparente sur le risque opérationnel

Chacun de ces éléments ne doit pas être considéré isolément mais doit être parfaitement intégré dans le dispositif global de gestion des risques opérationnels et s’inscrire dans le cadre plus global de gestion des risques de la banque (y compris la résilience opérationnelle).

Les principes révisés représentent des pratiques saines applicables à toutes les banques. Toutefois le principe de proportionnalité s’applique également dans le cadre de la gestion du risque opérationnel. Il s’agira donc d’adapter la mise en œuvre des principes à la nature, à la taille, à la complexité et au profil de risque des activités des banques.

3. Clarification des attentes sur le dispositif de gestion du risque opérationnel

3.1. La nécessaire conjugaison entre les objectifs de gestion du risque opérationnel et de résilience opérationnelle

Le risque opérationnel est défini comme le risque de perte résultant de processus, de personnes et de systèmes internes inadéquats ou défaillants ou d’événements externes. Cette définition inclut le risque juridique, mais exclut le risque stratégique et de réputation.
Le risque opérationnel est inhérent à tous les produits, activités, processus et systèmes bancaires, et la gestion efficace du risque opérationnel est un élément fondamental du programme de gestion des risques d’une banque.

Une saine gestion du risque opérationnel reflète l’efficacité du conseil d’administration et du top management dans la gestion de leur portefeuille de produits, d’activités, de processus et de systèmes. Le cas échéant, les risques stratégiques et de réputation pourraient être pris en compte par la gestion des risques opérationnels des banques si cette inclusion permet une meilleure appréhension du risque global.

Bien que la gestion des risques opérationnels et la résilience opérationnelle répondent à des objectifs différents, elles sont étroitement liées. Un système efficace de gestion des risques opérationnels et un niveau solide de résilience opérationnelle contribuent ensemble à la réduction de la fréquence et de l’impact des événements de risque opérationnel.

3.2. Réaffirmation des composantes d’un dispositif efficace de gestion du risque opérationnel

La gestion des risques efficace englobe :
– l’identification des risques pour la banque
– la mesure et l’évaluation des expositions à ces risques
– la surveillance en permanence des expositions et des besoins en fonds propres correspondants
– la mise en place de mesures pour contrôler ou atténuer les risques présents dans les expositions
– le reporting à la direction générale et au conseil d’administration sur les expositions aux risques et des fonds propres de la banque
– l’intégration des contrôles internes aux activités quotidiennes d’une banque
– la disponibilité d’informations fiables, opportunes et complètes sur les risques de la banque
– l’assurance que la banque se conforme aux lois et réglementations applicables
– une saine gouvernance

3.3. La gouvernance comme clé de voute d’un dispositif de gestion du risque opérationnel efficace

Une saine gouvernance interne constitue le fondement d’un dispositif de gestion du risque opérationnel efficace. La gouvernance de la gestion du risque opérationnel présente des similitudes mais aussi des différences par rapport à la gestion du risque de crédit ou de marché. La fonction de gouvernance des risques opérationnels des banques doit être pleinement intégrée dans la structure globale de gouvernance de gestion des risques au sein de la banque.

3.4. Clarification des attentes sur les trois niveaux de contrôle interne

3.4.1. Le dispositif des trois lignes de défense

La première ligne de défense se situe au niveau des équipes opérationnelles au sein du business.
La deuxième ligne de défense est représentée par la fonction indépendante de gestion des risques opérationnels.
La troisième ligne de défense est représentée par le contrôle périodique indépendant.
En fonction de la nature, de la taille et de la complexité de la banque, et le profil de risque des activités d’une banque, le niveau de formalisme dans la mise en œuvre de ces trois lignes de défense variera.

Bien que le modèle à trois lignes de défense soit largement adopté par les banques, la confusion autour des rôles et des responsabilités de chaque ligne de défense entrave parfois son efficacité. Ainsi, la révision des principes de gestion du risque opérationnel est également l’occasion de clarifier les attentes sur ce modèle des trois lignes de défense pour chaque type de sous-catégorie de risque opérationnel, y compris le risque ICT.

3.4.2. Les attentes valables pour chaque ligne de défense

Les banques doivent veiller à ce que chaque ligne de défense :
– dispose de ressources suffisantes en termes de budget, d’outils et de personnel
– ait des rôles et des responsabilités clairement définis
– reçoit une formation continue et adéquate
– promeut une saine culture de gestion des risques dans toute l’organisation
– communique avec les autres lignes de défense pour renforcer le dispositif de gestion des risques opérationnels

3.4.3. Les attentes spécifiques relatives au premier niveau de défense

Une saine gouvernance des risques opérationnels reconnaît que la direction des équipes business est responsable de l’identification et de la gestion des risques inhérents aux produits, activités, processus et systèmes dont elle est responsable. Les banques doivent avoir une politique définissant clairement les rôles et les responsabilités dans les équipes opérationnelles concernées.

Les responsabilités d’une première ligne de défense efficace dans la promotion d’une saine culture de gestion des risques opérationnels doivent inclure :

– l’identification et l’évaluation du caractère significatif des risques opérationnels inhérents à leur unités commerciales respectives grâce à l’utilisation d’outils de gestion des risques opérationnels
– la mise en place des contrôles appropriés pour atténuer les risques opérationnels inhérents et évaluer la conception et l’efficacité de ces contrôles grâce à l’utilisation des outils de gestion des risques opérationnels
– l’identification et l’escalade pour les cas où les unités opérationnelles manquent de ressources, d’outils et de formation adéquats pour assurer l’identification et l’évaluation des risques opérationnels
– la surveillance et le reporting sur les profils de risque opérationnel des différentes équipes business et opérationnelles afin de s’assurer de leur conformité à la déclaration de tolérance et d’appétit pour le risque opérationnel établie
– le reporting des risques opérationnels résiduels non atténués par les contrôles, y compris les événements de perte opérationnelle, les lacunes des contrôles, les insuffisances des processus et le non-respect du cadre de limites internes sur le risque opérationnel conformément au RAF (Risk Appetite Framework)

3.4.4. Les attentes spécifiques relatives au deuxième niveau de défense

Une équipe en charge de la gestion des risques opérationnels fonctionnellement indépendante est généralement la deuxième ligne de défense. Les responsabilités d’une deuxième ligne de défense efficace doivent inclure :

– le développement d’une vision des risques indépendante des unités opérationnelles
<> les risques opérationnels importants identifiés
<> la conception et l’efficacité des contrôles clés
<> l’appétit au risque

– des challenges sur la pertinence et la cohérence de la mise en œuvre par les équipes commerciales des outils de gestion des risques opérationnels, des activités de mesure et des systèmes de reporting, et la preuve de ce challenge efficace
– l’élaboration et la maintenance des politiques, des normes et des lignes directrices en matière de gestion des risques opérationnels et de mesure
– l’examen et la contribution au suivi et à la communication sur profil de risque opérationnel
– la conception et la dispense de formations sur les risques opérationnels
– la sensibilisation aux risques des différents collaborateurs

Les modalités de respect du principe d’indépendance de l’équipe en charge de la gestion des risques opérationnels peuvent différer d’une banque à l’autre :
– dans les petites banques, l’indépendance peut être obtenue grâce à la séparation des tâches et à un examen indépendant des processus et des fonctions
– dans les grandes banques, l’équipe en charge de la gestion des risques opérationnels doit avoir une structure de reporting indépendante des unités opérationnelles génératrices de risques et être responsable de la conception, de la maintenance et du développement continu du dispositif de gestion du risque opérationnel au sein de la banque

L’équipe en charge de la gestion des risques opérationnels doit impliquer les autres fonctions de contrôle dans ses travaux. Il s’agit notamment des équipes Conformité, Juridique, Finance et Informatique. Ce travail collaboratif permettra de soutenir les évaluations des risques opérationnels et des contrôles.
Les banques doivent avoir une politique définissant clairement les rôles et les responsabilités de l’équipe en charge de la gestion des risques opérationnels, reflétant la taille et la complexité de l’organisation.

3.4.5. Les attentes spécifiques relatives au troisième niveau de défense

La troisième ligne de défense fournit au conseil d’administration une assurance indépendante du caractère approprié du dispositif de gestion du risque opérationnel de la banque. Le personnel de cette fonction ne doit pas être impliqué dans l’élaboration, la mise en œuvre et le fonctionnement des processus de gestion des risques opérationnels par les deux autres lignes de défense.
Les examens de la troisième ligne de défense sont généralement menés par l’audit interne et / ou externe de la banque, mais peuvent également impliquer d’autres tiers indépendants dûment qualifiés.
Le périmètre et la fréquence des examens doivent être suffisants pour couvrir toutes les activités et entités juridiques d’une banque.

 Un examen indépendant efficace doit :

– examiner la conception et la mise en œuvre des systèmes de gestion des risques opérationnels et des processus de gouvernance associés à travers la première et la deuxième ligne de défense (y compris l’indépendance de la deuxième ligne de défense)

– examiner les processus de validation pour s’assurer qu’ils sont indépendants et mis en œuvre d’une manière cohérente avec les politiques bancaires établies

– s’assurer que les systèmes de quantification utilisés par la banque sont suffisamment robustes :
<> ils doivent fournir l’assurance de l’intégrité des données, des hypothèses, des processus et de la méthodologie
<> ils doivent produire des évaluations du risque opérationnel qui reflètent de manière crédible le profil de risque opérationnel de la banque

– veiller à ce que la direction des équipes opérationnelles et commerciales réponde rapidement, avec précision et de manière adéquate aux problèmes soulevés et fasse régulièrement un reporting au conseil d’administration ou à ses comités compétents sur les questions en suspens et clôturées

– donner un avis sur la pertinence et l’adéquation globales du dispositif de gestion du risque opérationnel et des processus de gouvernance associés dans l’ensemble de la banque

– évaluer si le dispositif de gestion du risque opérationnel répond aux besoins et aux attentes de l’organisation tels que :
<> le respect de l’appétit et de la tolérance au risque de l’entreprise
<> l’adaptation du dispositif à l’évolution des conditions opérationnelles

– évaluer si le dispositif de gestion du risque opérationnel se conforme :
<> aux dispositions statutaires et législatives
<> aux dispositions contractuelles
<> aux règles internes
<> au code de conduite éthique

3.5. Le rôle clé de la direction générale dans le dispositif de gestion du risque opérationnel

La direction générale doit veiller à ce que les politiques, processus et systèmes du dispositif de gestion du risque opérationnel restent suffisamment solides pour gérer et veiller à ce que les pertes opérationnelles soient adéquatement traitées en temps opportun. L’amélioration de la gestion des risques opérationnels dépend fortement de la proactivité du top management qui doit agir rapidement et de manière appropriée pour répondre aux préoccupations des gestionnaires des risques opérationnels.

4. 12 principes pour une gestion saine du risque opérationnel

4.1. Principe 1 : la nécessaire implication du conseil d’administration et du top management dans la diffusion de la culture risque

Le conseil d’administration doit prendre l’initiative de mettre en place une solide culture de gestion des risques, mise en œuvre par le top management. Le conseil d’administration et la direction générale doivent :
– établir une culture d’entreprise guidée par une solide gestion des risques
– mettre en place des normes et des incitations à un comportement professionnel et responsable
– veiller à ce que le personnel reçoive une formation appropriée en matière de gestion des risques et d’éthique

4.2. Principe 2 : un dispositif de gestion des risques opérationnels pleinement intégré dans le dispositif de gestion des risques globale de la banque

Les banques doivent développer, mettre en œuvre et maintenir un cadre de gestion des risques opérationnels pleinement intégré dans les processus globaux de gestion des risques de la banque. Le cadre de gestion des risques opérationnels adopté par une banque dépendra d’une série de facteurs, notamment la nature, la taille, la complexité et le profil de risque de la banque.

4.3. Principe 3 et 4 : le devoir de surveillance du dispositif de gestion du risque opérationnel par le conseil d’administration

Le conseil d’administration doit approuver et revoir périodiquement le cadre de gestion du risque opérationnel et s’assurer que la direction générale met en œuvre les politiques, processus et systèmes du cadre de gestion du risque opérationnel de manière efficace à tous les niveaux de décision.
Le conseil d’administration doit approuver et revoir périodiquement une déclaration d’appétence et de tolérance au risque pour le risque opérationnel qui précise la nature, les types et les niveaux de risque opérationnel que la banque est prête à assumer.

4.4. Principe 5 : la responsabilité de la direction générale dans la mise en œuvre d’une saine gouvernance autour de la gestion du risque opérationnel

La direction générale doit élaborer pour approbation par le conseil d’administration, une structure de gouvernance claire, efficace et solide avec des lignes de responsabilité bien définies, transparentes et cohérentes. La direction générale est responsable de la mise en œuvre et du maintien cohérents tout au long de l’organisation, des politiques, des processus et des systèmes de gestion du risque opérationnel dans tous les produits, activités, processus et systèmes importants de la banque, conformément à la tolérance au risque et à la déclaration de tolérance de la banque.

4.5. Principe 6 et 7 : l’importance d’un dispositif efficace d’identification et d’évaluation des risques en ligne avec les changements au sein de la banque

La direction générale doit assurer l’identification et l’évaluation complètes du risque opérationnel inhérent à tous les produits, activités, processus et systèmes importants.
Ceci permettra notamment de s’assurer que les risques inhérents sont bien compris.
La direction générale doit veiller à ce que le processus de gestion du changement de la banque soit complet, doté de ressources appropriées et correctement articulé entre les lignes de défense pertinentes.

4.6. Principe 8 : l’importance du dispositif de suivi et de reporting sur les risques opérationnels

La direction générale doit mettre en place un processus de suivi régulier des profils de risque opérationnel et des expositions opérationnelles significatives.
Des reportings appropriés doivent être en place à destination du conseil d’administration, du top management et des équipes commerciales pour soutenir une gestion proactive du risque opérationnel.

4.7. Principe 9 : l’importance du dispositif de contrôle et des mesures de réduction du risque

Les banques doivent disposer d’un environnement de contrôle solide qui utilise des politiques, des processus, des systèmes et des contrôles internes appropriés. Elles doivent également mettre en œuvre des stratégies appropriées d’atténuation des risques et / ou de transfert de risque.

Les processus et procédures de contrôle doivent inclure :
– des examens au plus haut niveau des progrès accomplis dans la réalisation des objectifs déclarés
– la vérification du respect des contrôles
– l’examen du traitement et la résolution des cas de non-conformité
– l’évaluation des approbations et autorisations requises pour garantir la responsabilité à un niveau de direction approprié
– le suivi des reportings pour les exceptions approuvées aux seuils ou aux limites, les dérogations de la direction et autres écarts par rapport aux politiques, réglementations et lois

4.8. Principe 10 : la nécessaire prise en compte des risques ICT

Les banques doivent mettre en œuvre un solide programme de gestion des risques ICT, aligné sur leur cadre de gestion des risques opérationnels. La gestion des risques liés aux ICT comprend :

– l’identification et l’évaluation des risques liés aux ICT

– les mesures de réduction des risques liés aux ICT compatibles avec le niveau de risque évalué :
<> programmes de cybersécurité, d’intervention et de récupération
<> processus de gestion des changements ICT
<> processus de gestion des incidents ICT, y compris la transmission des informations pertinentes aux utilisateurs en temps opportun)

– le suivi de ces mesures d’atténuation (y compris des tests réguliers)

4.9. Principe 11 : l’indispensable planification de la continuité des activités

Les banques doivent mettre en place des plans de continuité des activités pour garantir leur capacité à fonctionner de manière continue et limiter les pertes en cas de perturbation grave des activités. Les plans de continuité des activités doivent être liés au cadre de gestion des risques opérationnels de la banque.

Une gouvernance saine et efficace de la politique de continuité des activités des banques nécessite:
– un examen et une approbation réguliers par le conseil d’administration
– la forte implication de la direction générale et des responsables des équipes commerciales et opérationnelles dans sa mise en œuvre
– l’engagement des première et deuxième lignes de défense dans sa conception
– l’examen régulier par la troisième ligne de défense

4.10. Principe 12 : la publication transparente d’informations afin de renforcer la qualité des pratiques de place

Les publications d’une banque doivent permettre aux parties prenantes d’évaluer son approche de la gestion du risque opérationnel et son exposition au risque opérationnel. La publication par une banque d’informations pertinentes sur la gestion du risque opérationnel peut conduire à la transparence et au développement de meilleures pratiques de place. Le montant et le type de publication doivent être proportionnels à la taille, au profil de risque et à la complexité des opérations d’une banque ainsi qu’à l’évolution des pratiques du secteur.

5. Références et abréviations

https://www.bis.org/bcbs/publ/d515.pdf

RAS : Risk Appetite Statement
RCSA : Risk Control Self Assessment
ICT (anglais) TIC (français) : Technologies de l’Information et de la Communication
RAF : Risk Appetite Framework


Mai

27

2021

LES BANQUES DOIVENT AMÉLIORER LE DISPOSITIF DE GESTION DES DÉBITEURS EN DIFFICULTÉ DANS LE CONTEXTE COVID-19

Evelyne Ngnotue, 28/05/2021

1. Le contexte

La pandémie de COVID-19 a perturbé les économies européennes, augmentant la vulnérabilité du système financier. Les autorités de contrôle, les régulateurs et les gouvernements ont réagi rapidement pour limiter l’impact pro cyclique de cette crise et garantir aux banques l’accès à des ressources supplémentaires qui doivent être utilisées pour fournir un soutien financier plus important aux emprunteurs.

La BCE souhaite clarifier ses attentes opérationnelles en ce qui concerne la gestion de la qualité des portefeuilles de prêts afin que les institutions importantes puissent mieux fournir ce soutien financier aux entreprises viables qui sont ou pourraient être en difficulté en raison de la pandémie.

Ainsi, une lettre de la BCE à destination des différents directeurs généraux des banques a été publiée en juillet 2020 à cet effet. Étant donné le fait que le contexte général ait peu évolué depuis Juillet 2020, il convient encore aujourd’hui de rappeler les bonnes pratiques énoncées dans cette lettre.  

2. Amélioration de la capacité des banques à soutenir les entreprises en difficulté tout en respectant un cadre prudent de gestion du risque de crédit

2.1. Besoin de trouver le juste milieu entre soutien de l’économie et augmentation du risque de crédit

Lorsqu’elles soutiennent des entreprises viables en difficulté, les banques doivent pouvoir le faire en temps opportun. Cela exige des institutions importantes qu’elles mettent en place des pratiques efficaces de gestion des risques pour identifier, évaluer et mettre en œuvre des solutions qui peuvent soutenir le mieux possible ces entreprises tout en se limitant le risque de crédit pris.

2.2. Besoin d’éviter les effets de seuil liés à la fin des mesures de soutien à l’économie dont les moratoires

Les institutions importantes doivent prendre des mesures en temps opportun pour minimiser les effets de seuil lorsque les mesures de moratoire commencent à expirer. En effet, dans le cadre de la réponse à la pandémie, un grand nombre d’emprunteurs ont bénéficié d’une flexibilité à court terme grâce à diverses mesures qui ont principalement suspendu ou différé les paiements.
Il est essentiel que les établissements importants identifient de manière proactive les emprunteurs potentiellement en difficulté et mettent en œuvre des solutions en collaboration avec les clients avant l’expiration de ces mesures. Ceci permettra d’éviter des impacts négatifs importants sur les portefeuilles de prêts des banques.

2.3. Besoin d’améliorer la compréhension par la banque des risques pris et d’ajuster la stratégie en conséquence

Les établissements importants doivent avoir une compréhension claire des risques auxquels ils sont confrontés et concevoir une stratégie appropriée, axée à la fois sur le court et le moyen terme, pour garantir que les solutions apportées aux débiteurs en difficulté sont viables.
Cette stratégie doit également garantir que les arriérés sont gérés en temps opportun limitant l’impact sur les bilans des banques et l’économie dans son ensemble.

3. Feuille de route de gestion active du risque de crédit en période COVID-19

3.1. Une nécessaire amélioration des ressources informatiques mises à disposition

Les institutions importantes doivent disposer des ressources et des systèmes informatiques appropriés pour gérer les risques. Au niveau de base, elles doivent être en mesure d’identifier facilement les emprunteurs dont la solidité financière a été affectée par la pandémie COVID-19 et ceux qui ont bénéficié de diverses mesures de soutien public et privé.

Les systèmes informatiques doivent donc être adaptés pour permettre aux banques d’identifier, d’évaluer et de suivre de manière efficace et globale les risques intrinsèques à cette crise.
Les systèmes informatiques doivent également permettre la mise en place de reporting rapide et fiable sur des prêts et des portefeuilles en fonction des critères de risque et d’activité les plus pertinents.

3.2. Intégration dans les reportings des indicateurs d’alertes précoces

Les reportings à mettre en place doivent :
– être suffisamment détaillés
– fournir des indicateurs d’alertes précoces
– fournir des projections de la manière dont ce risque affectera la banque à court et moyen terme

Un ensemble de reportings solide et un système d’alerte précoce adéquat aideront la direction à prendre des décisions stratégiques cruciales sur la base d’informations plus détaillées et plus précises. La liste des reportings doit être mise à jour régulièrement.

3.3. Une segmentation de la clientèle plus granulaire afin de mieux identifier les groupes à risque

La segmentation granulaire du portefeuille permet aux banques de regrouper des emprunteurs présentant des caractéristiques similaires et nécessitant un traitement similaire. Des processus personnalisés peuvent ensuite être conçus pour chaque segment, avec des équipes d’experts dédiées à la gestion du risque. La segmentation facilite également un suivi et un reporting efficaces. Les institutions importantes doivent donc segmenter entièrement leurs portefeuilles à un niveau granulaire afin d’identifier les secteurs les plus vulnérables à la crise actuelle. Au sein de ces secteurs, les institutions importantes doivent également segmenter leurs portefeuilles, par exemple pour identifier les emprunteurs viables et ceux qui ne le sont pas.

3.4. Une nécessaire adaptation de la stratégie en fonction du niveau effectif de NPL

Les institutions importantes doivent adapter leurs stratégies en fonction des leçons tirées des segmentations plus granulaires. Cette stratégie doit être globale afin de prendre en compte tous les risques auxquels elles sont confrontées en raison de cette pandémie. La stratégie doit être axée à la fois sur le court et le moyen terme et inclure une gamme de solutions pouvant être appliquées en fonction à la fois de la situation de l’emprunteur et de l’appétit pour le risque de l’institution. La mise en œuvre de la stratégie et des solutions associées doit être surveillée et testée pour s’assurer que ces dernières sont efficaces et réalistes.

3.5. Amélioration de la capacité opérationnelle et de l’expertise au sein de la banque

Les banques doivent améliorer leur dispositif de gestion précoce des arriérés et du niveau d’endettement des emprunteurs. Ceci est essentiel pour limiter l’impact sur l’ensemble du  portefeuille de la dégradation du niveau de risque. Cette démarche doit être mise en œuvre depuis l’octroi de nouveaux crédits à la clôture de certains dossiers, en passant par les cas de restructurations en urgence de créances. Cette stratégie doit être implémentée de manière efficace pour permettre une action en temps opportun.

Les institutions importantes doivent consacrer des ressources suffisantes et une expertise adéquate proportionnellement au niveau de risque attendu. Ces éléments fondamentaux de la gestion des risques doivent être évalués en permanence et adaptés en fonction de l’évolution du risque dans les portefeuilles des institutions importantes.

3.6. Une gestion de la crise facilitée par la coopération active entre les banques et les autorités de supervision

Les équipes de supervision engageront des discussions plus détaillées avec les institutions importantes dans les mois à venir afin d’évaluer leurs pratiques de gestion des risques. Cette lettre de la BCE vise à clarifier la manière dont la qualité des portefeuilles de prêts doit être gérée dans le contexte spécifique de la COVID-19 et de rappeler aux institutions importantes de suivre les exigences réglementaires applicables concernant les pratiques de gestion des risques.
Le  contenu de cette lettre doit être discuté au sein du  conseil d’administration de chaque institution importante. 

4. Références

https://www.bankingsupervision.europa.eu/press/letterstobanks/shared/pdf/2020/ssm.2020_letter_on_operational_capacity_in_the_context_of_the_coronavirus_COVID_19_pandemic.en.pdf?8c704a1db950170fcb31515c68e613cf


Avr

13

2021

LES PRINCIPALES MODIFICATIONS APPORTÉES PAR L’ARRÊTÉ DU 25 FÉVRIER 2021 ABROGEANT L’ARRÊTÉ DU 3 NOVEMBRE 2014 RELATIF AU CONTRÔLE INTERNE DES BANQUES

Evelyne Ngnotue, 13/04/2021

1. Les raisons de la modification de l’arrêté du 03 Novembre 2014

Le nouvel arrêté vise à mettre à jour l’arrêté du 3 novembre 2014 en matière de contrôle interne afin de prendre en compte certaines dispositions ayant été adoptées tant au niveau international qu’au niveau européen et de s’adapter à certaines pratiques de place.
Il clarifie notamment les différents niveaux de contrôle qui peuvent exister et précise les obligations qui doivent être respectées, tant en matière d’agrégation des données que de gestion du risque informatique.
Le respect des dispositions relatives à la gestion du risque informatique doit se faire en cohérence avec l’organisation globale du contrôle interne prescrite dans cet arrêté.

2. Le périmètre de la réforme

L’arrêté porte sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution.

3. Calendrier de mise en œuvre

À l’exception de l’article 241-2 qui est entré en vigueur le lendemain de sa publication au Journal officiel de la République française, l’ensemble des dispositions entrent en vigueur le 28 juin 2021.

4. Les nouveautés apportées par le texte

4.1. Les exigences sur le cadre de gestion du risque informatique au sein des banques
4.1.1. Définition du risque informatique et des systèmes d’information

Le risque informatique est le risque de perte résultant d’une inadéquation ou d’une défaillance affectant l’organisation, le fonctionnement, le changement ou la sécurité du système d’information. Le risque informatique est un risque opérationnel.
L’arrêté  du 25 Février 2021 précise la définition des systèmes d’informations comme étant l’ensemble des actifs informatiques et des données, ainsi que des moyens humains permettant le traitement de l’information d’une banque.

4.1.2. Les attentes sur le dispositif de gestion du risque informatique

Le nouvel arrêté spécifie les attentes sur le dispositif de gestion du risque informatique au travers des systèmes d’information et de la qualité du service informatique.
Les banques doivent  établir leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d’affaires. Les dirigeants effectifs et l’organe de surveillance doivent  s’assurer que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d’information ainsi qu’à la continuité d’activité sont suffisantes pour que la banque remplisse ses missions.

Le dispositif de gestion des risques informatiques au sein des banques vise à :
– identifier le risque informatique auquel elles sont exposées pour l’ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;
– évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;
– adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;
– surveiller l’efficacité de ces mesures et informer les dirigeants effectifs et l’organe de surveillance de leur bonne exécution.

4.1.3. Les attentes sur le dispositif de sécurité des systèmes d’information

La politique de sécurité du système d’information doit préciser les principes mis en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Les objectifs étant de garantir l’authenticité, l’imputabilité, la responsabilité et la fiabilité des systèmes d’information.
Cette politique doit être fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l’organe de surveillance.

Les banques doivent formaliser et mettre en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données. Elles doivent également mettre en œuvre un programme de sensibilisation et de formations régulières à la sécurité du système d’information, soit au moins une fois par an, au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.

4.2. Les exigences sur le plan de continuité d’activité associé aux systèmes d’information

Les banques doivent  établir un dispositif de gestion de la continuité d’activité validé par l’organe de surveillance et mis en œuvre par les dirigeants effectifs, qui vise à assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave.

Le plan de continuité informatique comprend :
– une procédure d’analyse quantitative et qualitative des impacts de perturbations graves sur leurs activités, tenant compte des liens de dépendance existant entre les différents éléments mis en œuvre pour chaque activité, notamment les actifs informatiques et les données ;
– un plan d’urgence et de poursuite de l’activité fondé sur l’analyse des impacts, qui indique les actions et moyens à mettre en œuvre pour faire face aux différents scénarios de perturbation des activités et les mesures requises pour le rétablissement des activités essentielles ou importantes ;
– un plan de reprise d’activité qui comporte des mesures d’urgence destinées à maintenir les activités essentielles ou importantes.

 Les banques doivent tester périodiquement leur dispositif de gestion de la continuité d’activité, notamment leurs services informatiques, et s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières, font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité.

4.3. De fortes attentes sur la capacité d’agrégation des données sur les risques en ligne avec le principe de proportionnalité

L’arrêté du 25 Février 2021 insiste sur l’amélioration de la capacité d’agrégation des données sur les risques pour les établissements importants. Elle inclut  la définition, la collecte et le traitement des données sur les risques permettant aux établissements de mesurer leurs résultats au regard de leur appétit pour le risque.

Ainsi les établissements importants doivent définir des politiques, à l’échelle du groupe, régissant la gestion, la qualité et l’agrégation des données sur les risques. Dans ce cadre, ils doivent mettre  en place des procédures qui prévoient :

– la mise en place de mesures visant à assurer l’exactitude, l’intégrité et l’exhaustivité des données sur les risques ;
– la mise en place d’une structure de données uniforme ou homogène, le cas échéant à l’échelle du groupe, pour identifier sans équivoque les données sur les risques ;
– les données agrégées sur les risques sont disponibles en temps utile ;
– les capacités d’agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.

Les établissements importants doivent définir :
– les responsabilités pour toutes les étapes du processus d’agrégation des données sur les risques et les contrôles liés aux processus mis en place ;
– les rôles et les responsabilités relatifs à la propriété et à la qualité des données.

Les autres établissements qui ne sont pas des établissements importants sont soumis aux dispositions semblables tout en prenant en compte le principe de proportionnalité.  La mise en œuvre des exigences sur la capacité d’agrégation des données de risques se fera au cas par cas selon des modalités adaptées à leur taille, à la nature et à la complexité de leur activité.

4.4. Une redéfinition des trois niveaux de contrôle interne en cohérence avec le principe de proportionnalité

Les banques doivent disposer, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts.

4.4.1. Le premier niveau de contrôle

Il est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

4.4.2. Le deuxième niveau de contrôle

Il est assuré par des agents au niveau des services centraux et locaux exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues.
Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle. Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu’ils contrôlent.

Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.
Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu’ils ne sont pas dirigeants effectifs, n’effectuent aucune opération commerciale, financière ou comptable. Les banques doivent désigner un dirigeant effectif responsable de la cohérence et de l’efficacité dudit contrôle permanent.

4.4.3. Le troisième niveau de contrôle

Il  est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.
Le troisième niveau de contrôle assure, au moyen d’enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs  du contrôle permanent.

4.5. Un meilleur encadrement des situations de conflits d’intérêt

L’arrêté  du 25 Février 2021 a rajouté des alinéas permettant de préciser les attentes sur le dispositif de gestion des conflits d’intérêts. Ainsi des procédures mises en place doivent permettre de recenser, évaluer, gérer et atténuer ou éviter les conflits d’intérêts avérés et potentiels au niveau de l’établissement, ainsi que les conflits avérés et potentiels entre les intérêts de l’établissement et les intérêts privés du personnel qui pourraient avoir une incidence défavorable sur l’exercice de leurs attributions et responsabilités.

4.6. Une clarification du mandat et du positionnement de la fonction de l’audit interne

Les attentes portent sur :
– les procédures internes encadrant la désignation et la révocation du responsable de l’audit interne ;
– la désignation d’un dirigeant effectif en charge de la cohérence et de l’efficacité du contrôle périodique assuré par la fonction d’audit interne ;
– la réaffirmation de l’indépendance des membres de la fonction d’audit interne à l’égard de l’ensemble des entités et services qu’ils contrôlent ;
– les moyens  suffisants affectés à la fonction d’audit interne pour lui permettre de mener un cycle complet d’investigations de l’ensemble des activités sur un nombre d’exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d’audit sont proportionnées aux risques identifiés au sein des entreprises assujetties.

4.7. Des précisions sur le périmètre du comité nouveau produit et nouvelle activité

Les  banques doivent définir des politiques d’approbation des nouveaux produits et changements significatifs recouvrant :
– les nouveaux produits et services ;
– les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés ;
– les opérations de croissance interne et externe ;
– les transactions exceptionnelles.

Les banques doivent mettre en place des systèmes et procédures assurant une analyse à la fois en amont et prospective des risques encourus lorsqu’elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listées précédemment.

4.8. Un renforcement des exigences sur les prestations externalisées

Les banques doivent tenir  et mettre à jour un registre des dispositifs d’externalisation en vigueur en distinguant les dispositifs d’externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d’externalisation d’autres activités.
Elles doivent également  informer l’Autorité de contrôle prudentiel et de résolution en cas de conclusion d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre dédié.

4.9. Clarification des attentes sur le reporting à l’attention des dirigeants effectifs, de l’organe de surveillance et de l’ACPR

Les banques dont le total de bilan social ou consolidé est supérieur à 5 milliards d’euros doivent constituer un comité des risques, un comité des nominations et un comité des rémunérations.
Les banques doivent  transmettre à l’ACPR, au moins une fois par an et au plus tard le 30 juin, les informations requises mentionnées aux articles L. 511-98 et L. 511-99 du code monétaire et financier.
Tout changement relatif à l’objectif et à la politique des banques concernées par ce périmètre est communiqué dans les meilleurs délais à l’ACPR.

Références

https://www.legifrance.gouv.fr/loda/id/JORFTEXT000043220074/


Mai

29

2019

Databricks



Unifying Data Science and Engineering


Nous sommes confrontés à un marché où la demande est en très forte croissance, que ce soit aux Etats-Unis, mais aussi en zones Europe, Moyen-Orient et Afrique comme en Asie-Pacifique. Toutes les entreprises, des start-up aux grands groupes en passant par les sociétés de taille moyenne, se rendent compte qu’elles ne pourront pas faire sans l’IA. Et la tendance devrait s’étaler sur au moins une dizaine d’années.

Ali Ghodsi, cofondateur et CEO de Databricks


Fondation

Databricks a été fondée à l’UC Berkeley AMPLab par l’équipe qui a créé Apache Spark. Nous avons travaillé pendant les six dernières années sur les systèmes de pointe pour extraire la valeur du Big Data. Nous croyons que le Big Data est une opportunité énorme qui est encore largement inexploité, et nous travaillons à révolutionner ce que vous pouvez en faire.

Les objectifs

Démocratiser l’IA quelle que soit la taille de l’entreprise, tel est l’objectif du californien Databricks. Pour relever ce défi, la société de San Francisco est parvenue à lever pas moins de 498,5 millions de dollars depuis sa création en 2013. Lors de son dernier tour de table début 2019 (de 250 millions de dollars), Databricks a annoncé avoir hissé sa valorisation à 2,75 milliards de dollars, et passé le cap des 100 millions de dollars de revenu annuel récurrent à l’issue de 2018. Il faut dire que ses fondateurs ne sont pas nés de la dernière pluie. Il s’agit des créateurs de la célèbre infrastructure de calcul distribuée Apache Spark. Le framework constitue la base de leur offre. Avec des bureaux en Allemagne, au UK, en Australie, en France, en Inde, à Singapour et aux Pays-Bas, Databricks compte quelque 800 salariés à ce jour, et entend dépasser le millier d’employés d’ici 2020. 

La valeur ajoutée de databrick

La valeur ajoutée de Databricks ?
Proposer une plateforme cloud conçue pour faire face à la fois au défi du big data (traiter des Po de données) et à l’enjeu de l’intelligence artificielle (appliquer à ces volumes d’informations des algorithmes de machine learning).

Databricks recouvre l’intégralité du processus d’IA. En amont, elle gère via Spark la fédération des données réparties au sein des bases relationnelles, data warehouses, services cloud de stockage de l’entreprise. Ensuite, par le biais de la brique Delta Lake, elle cible la gouvernance des données, leur mise en conformité, leur sécurité, le management de leur qualité. Puis avec MLFlow et Runtime for ML, elle permet de créer les modèles d’IA, les entrainer en se basant là encore sur Spark et, enfin, les déployer sur le terrain.


l’automatisation du machine learning

Pour la suite, Databricks est en train de développer une infrastructure de management IT sans serveur ou serverless. « Les données pourront être gérées sur Delta Lake sans avoir à piloter de serveur virtuel », explique Ali Ghodsi. En parallèle, Databricks planche sur des fonctionnalités d’automatisation du machine learning qui viendront se greffer à MLFlow. « Elles permettront de dénicher automatiquement le bon modèle, les bons paramètres et la bonne architecture d’entraînement, en fonction du data set. »
Databricks compte aussi livrer des mécanismes de transfert d’apprentissage, que ce soit entre les modèles d’un même client ou de plusieurs clients (pour peu que ces derniers parviennent à se mettre d’accord sur ce mode opératoire), ou encore en tirant profit du savoir-faire d’un modèle mis en open source par un tiers.

Les liens externes

Microsoft investit dans la start-up Databricks :

Microsoft vient de prendre une participation dans la jeune pousse spécialisée en Big data : Databricks. Cette société vient de boucler une levée de fonds de 250 millions de dollars à laquelle ont pris part Microsoft ainsi qu’Andreessen Horowitz, Coatue Management et New Enterprise Associates. L’opération valorise Databricks à 2,7 milliards de dollars.
La société prévoit d’utiliser cet argent frais pour embaucher, ouvrir de nouveaux bureaux et prendre pied sur de nouveaux marchés comme les médias, le commerce de détail et les administrations

Parmi les concurrents de cette start-up, on peut citer Saagie, ForePaaS, Verteego et Dataiku.

Microsoft et Azur

Quelques liens sur l’imbrication Azur et Databricks :

Azure Databricks : Fast, easy, and collaborative Apache Spark–based analytics service
Didacticiel : Extraire, transformer et charger des données à l’aide d’Azure Databricks

Pour le futur

Inscrit également à sa feuille de route, Databricks envisage en outre de porter sa solution sur d’autres clouds que ceux d’Amazon (AWS) et de Microsoft Azur.

Il y aura d’autres clouds. Mais il est encore trop tôt pour dire lesquels. Sur cette question, nous sommes attentifs aux demandes de nos client

Ali Ghodsi

Pour aller plus loin

Le site de certification : academy.certifications

Le forum FAQ : forums.databricks.com

Capterra : avis sur databricks


Voir l’article


Article précédent : Open source – quand internet révolutionne le partage


Title


Juin

18

2021

LE COMITÉ DE BÂLE MET À JOUR LES PRINCIPES POUR UNE GESTION EFFICACE DU RISQUE OPÉRATIONNEL

Evelyne Ngnotue, 18/06/2021 1. Le contexte de la révision 1.1. Une révision des principes visant a resensibiliser les banques sur la correcte mise en œuvre des principes existants Le Comité de Bâle a publié en 2003 une première version de ses principes pour une gestion efficace du risque opérationnel. Ces principes ont été révisés en 2011 pour intégrer les leçons tirées de la crise financière de…


Retour