L’exercice combiné d’évaluation des actifs et de tests de résistance mené l’année dernière par la BCE, le fameux AQR, avait ceci de nouveau – au-delà du fait qu’il s’agissait d’un exercice d’une ampleur jamais connue – qu’il imposait une phase d’assurance qualité. En quoi a consisté cette phase ? A vérifier la qualité des données utilisées et des résultats produits, notamment via des contrôles de cohérence entre les résultats des différents sous-chantiers de l’exercice. Les exigences de cette phase, décrites et spécifiées par la BCE, ont entrainé une charge non négligeable estimée (Source : intervention EY du Club Banque du 20 janvier 2015) à 20% du coût total contre environ 2% dans les exercices habituels de reporting.

Parallèlement au lancement de l’audit AQR, le comité de Bâle publiait en novembre 2013 le BCBS 239 relatif à la gestion des données risque. Entre BCBS 239 et les « Remediation plans », les grands établissements français se sont rapidement lancés dans des chantiers d’envergure pour renforcer et accélérer :

  • La fiabilisation de leurs données,
  • La mutualisation des travaux de reportings,
  • La refonte de leurs systèmes d’information avec notamment un rapprochement des systèmes
  • ’information Comptabilité/Finance et Risque.

Comment expliquer, plus de 10 ans après le passage à Bâle 2, ce constat d’une donnée Risque encore insuffisamment fiabilisée voire insuffisamment maîtrisée ?

Une première explication est à trouver dans la segmentation des organisations. Par exemple, pour les établissements en approche interne, la mise en place de modèles internes nécessite de faire appel à des profils pointus, qui ont les compétences pour exploiter les données et en déduire des modèles adaptés. Mais de quel postulat partent-ils ? Celui que la donnée utilisée est une donnée de qualité. Avec quelle validation ? Pas la leur, puisque leur responsabilité porte sur la réalisation de modèles quantitatifs ? Pas celle, non plus, des équipes de communication financière, celles chargées des reportings réglementaires ou de pilotage interne. Tous sont amenés à exploiter la donnée, et non pas à la valider. Quant aux équipes IT, elles sont en charge d’implémenter les systèmes et de permettre à la donnée d’y transiter correctement. Au final, qui, pour se porter garant de la qualité de la donnée, en ayant une vision complète, de sa création à ses multiples utilisations ? Se porter garant et responsable, c’est finalement là que le bât blesse : les organisations actuelles ont créé trop de silos et chacun a pris l’habitude de ne faire que la tâche qui lui incombe. On se retrouve ainsi dans un monde paradoxal, qui produit de la donnée en masse et génère le phénomène Big Data, où chacun veut exploiter les données sans restriction, mais où personne ne souhaite en porter la responsabilité.

L’exploitation des données sans restriction, c’est un peu ce dont rêvent les régulateurs, avec des demandes de reportings toujours plus nombreux, toujours plus fréquents et à remettre toujours plus rapidement. Force est de constater aujourd’hui, que malgré la demande des établissements pour une harmonisation des reportings, ces derniers se multiplient, portent sur des notions similaires mais pas strictement identiques, complexifiant les travaux de reportings et imposant des travaux de rapprochement. Si, lors de la première consultation du FSB en octobre 2011, les banques ont été plutôt réticentes à l’idée de produire de l’information à la demande (car cela aurait nécessité une revue complète de leur système d’information), et ont voulu maintenir la production de reportings à fréquence régulière, elles se retrouvent aujourd’hui à crouler sous les demandes de reportings variés et à produire de la donnée en quantité considérable. De ce constat, on peut s’interroger : les banques n’auraient-elles pas eu, en définitive, intérêt à investir massivement dans une évolution globale de l’architecture de leurs systèmes d’information et se mettre en capacité de produire des reportings à la demande. Etre capable de produire de l’information intelligente à la demande, peut-être plus fine, plus fiable et de manière plus flexible, afin, au final, d’enrayer ce système actuel de surproduction mensuelle, hebdomadaire et quotidienne, de données, dont l’exploitation reste à démontrer. Car l’énergie et les ressources employées à produire, contrôler, rapprocher et fiabiliser les reportings est aujourd’hui considérable.

Toujours dans cette optique de production de reportings, la tendance organisationnelle ces dernières années a consisté en l’émergence, dans les grands établissements français, des cellules spécialisées rapprochant équipes Risque, équipes Finance, équipes métier pour créer des pôles spécialisés. Ces organisations qui permettent, il est vrai, une plus grande mutualisation, sont également, d’une certaine manière, l’aboutissement de ces silos où l’activité est fractionnée et les équipes dédiées à la production, séparées des autres activités de la banque. Si ces organisations viennent soutenir les travaux de production, elles démontrent que la question de la validation de la donnée exploitée ne s’est pas posée, car une telle organisation peut-elle réellement permettre la fiabilisation des données? Il faut malheureusement passer par une consultation du régulateur (BCBS239), annonciateur d’un prochain règlement, pour replacer la donnée au centre des réflexions.

Les chantiers « Refonte des SI » ou « Mutualisation » ou encore « Qualité des données » existent depuis des années dans les grandes banques françaises mais, c’est depuis peu seulement que la question de la qualité des données qui transitent dans les systèmes devient centrale. Certains évoquent la possibilité de créer un poste de directeur qualité. En mettant le sujet au même niveau que les grandes fonctions du groupe, ce serait un message fort du Management sur l’importance donnée à cette problématique. Mais ensuite comment mettre en musique cette grande direction de la qualité ? Doit-on réellement nommer des personnes en particulier pour porter la responsabilité de la qualité des données ? Ne devrait-on pas, au contraire, diluer cette responsabilité, et la (faire) partager ? Ne devrait-on pas se dire que toute personne utilisant une donnée doit s’assurer de sa qualité, que chaque utilisateur a un devoir de validation, comme tout journaliste a obligation de vérifier ses sources ?

Ces interrogations qui se posent encore aujourd’hui peuvent en partie expliquer pourquoi un travail sur les systèmes et sur les données est encore nécessaire aujourd’hui. Car si à première vue, travailler sur les données parait moins complexe que réaliser des modèles, il s’agit en réalité d’un travail plus difficile car il oblige à travailler autrement. Toute la difficulté de BCBS 239 réside dans cette nécessité de modifier en profondeur la gestion de la donnée et donc l’ensemble des travaux de la banque, nécessité qui va, finalement, au-delà de la seule contrainte réglementaire.

La gestion des risques entre aujourd’hui dans un nouveau paradigme. Après une dizaine d’années dédiées à une gestion des risques avant tout quantitative, basée sur la mise en place de modèles et le respect de ratios financiers, arrive l’ère du qualitatif. Et pour passer le cap, les établissements n’auront d’autres choix que de revoir en profondeur organisation, gouvernance, systèmes d’informations et processus.

Par Aude Couderc, Project Manager du cabinet VERTUO Conseil

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s