BCBS 239 est la norme numéro 239 du Comité de Bâle[1]. Le titre en est « Principes aux fins de l’agrégation des données sur les risques et de la notification des risques ». Elle a pour but de participer à la stabilisation du système financier mondial en contraignant les grandes banques à mieux connaître les risques auxquels elles sont exposées.
Institutions financières concernées
La norme a été publiée en et s'applique le à toutes les banques systémiques d'importance mondiale qui étaient définies comme telles en , et trois ans après leur date de désignation pour celles qui l'ont été après cette date.
La norme recommande en outre qu'elle soit appliquée par les superviseurs locaux aux banques systémiques d'importance au plan intérieur trois ans après leur désignation comme telles[2].
Objectifs
L'objectif général de la norme est le renforcement, dans les banques, des capacités d'agrégation de données des risques et des pratiques internes de notification des risques, améliorant ainsi la gestion de ces derniers et les processus de décision les concernant[3].
Structure de la norme
Sections
La norme contient cinq sections, les quatre premières incluant quatorze principes[4] :
I. Gouvernance et infrastructure
1. Gouvernance
2. Architecture des données et infrastructure informatique
II. Capacités d'agrégation des données sur les risques
3. Exactitude et intégrité
4. Exhaustivité
5. Actualité
6. Adaptabilité
III. Pratiques de notification des risques
7. Exactitude
8. Représentativité
9. Clarté and utilité
10. Fréquence
11. Distribution
IV. Surveillance prudentielle, outils et coopération entre autorités de contrôle
12. Surveillance
13. Actions correctives et mesures prudentielles
14. Coopération entre autorités d’origine/d’accueil
V. Délais de mise en œuvre et dispositions transitoires
Détail des principes
Même au niveau le plus détaillé, BCBS 239 est une norme basée sur des principes : elle donne peu de mesures claires pouvant être utilisées pour en suivre la conformité.
Chacun des 14 principes est brièvement présenté ci-dessous[5]. Il est à noter que les 11 premiers principes concernent les banques, et les 3 derniers concernent les autorités de contrôle.
Gouvernance – Les capacités d’agrégation des données de risque d’une banque et ses pratiques de notification des risques devraient faire l’objet d’un dispositif de gouvernance solide et conforme aux autres principes et recommandations établis par le Comité de Bâle
Architecture de données et infrastructure informatique – Toute banque devrait concevoir, mettre en place et gérer une architecture de données et une infrastructure informatique soutenant pleinement ses capacités d’agrégation des données de risque et ses pratiques de notification en la matière, non seulement en situation normale mais aussi en période de tensions ou de crise, sans manquer aux autres Principes.
Exactitude et intégrité – Toute banque devrait pouvoir produire des données exactes et fiables sur les risques pour satisfaire aux exigences d’exactitude applicables aux notifications, en temps normal comme en période de tensions ou de crise. L’agrégation des données devrait, pour l’essentiel, être automatisée, afin de réduire au minimum la probabilité d’erreurs.
Exhaustivité – Une banque devrait pouvoir saisir et agréger toutes les données importantes relatives aux risques encourus par le groupe. Les données devraient être consultables par ligne de métier, entité juridique, type d’actif, secteur, région et autres, pour un risque concerné, afin de permettre l’identification et la notification des expositions, des concentrations de risques et des risques émergents.
Actualité – Toute banque devrait pouvoir rapidement produire, agréger et mettre à jour des données sur les risques tout en respectant les principes d’exactitude, d’intégrité, d’exhaustivité et d’adaptabilité. Le moment précis de ces opérations dépendra de la nature et de la volatilité potentielle du risque mesuré ainsi que de son importance au regard du profil de risque global de la banque. Il dépendra, par ailleurs, des exigences de notification des risques propres à celle-ci, en situation normale comme en période de tensions ou de crise, lesquelles seront établies en fonction des caractéristiques et du profil de risque global de la banque.
Adaptabilité – Toute banque devrait pouvoir produire des données de risque agrégées lui permettant de faire face à toutes sortes de demandes de notification ponctuelles sur sa gestion des risques, notamment émises en période de tensions ou de crise, liées à une modification des besoins internes et provenant des autorités de contrôle.
Exactitude – Les rapports sur la gestion des risques devraient présenter de façon précise et exacte des données de risque agrégées et donner une représentation fidèle des risques encourus par l’établissement. Ils devraient faire l’objet d’un rapprochement et d’une validation.
Représentativité – Les rapports sur la gestion des risques devraient couvrir toutes les grandes familles de risques auxquelles l’organisation est exposée. Le degré d’approfondissement de ces rapports et les questions qu’ils abordent devraient être fonction de la taille et de la complexité des opérations menées par la banque, de son profil de risque et des exigences des destinataires.
Clarté et utilité – Les rapports sur la gestion des risques devraient être clairs et concis. Ils devraient être faciles à comprendre tout en étant suffisamment complets pour permettre aux destinataires de prendre des décisions en toute connaissance de cause. Un juste équilibre devrait être trouvé entre la place accordée aux données de risque et celles accordées aux analyses et aux interprétations ainsi qu’aux explications qualitatives. Les informations dont ils font été devraient être pertinentes et adaptées aux besoins des destinataires.
Fréquence – Il revient au conseil d’administration et à la direction générale (ou à tout autre destinataire, le cas échéant) de définir la fréquence de production et de distribution des rapports sur la gestion des risques. Cette fréquence devrait être fonction des besoins des destinataires, de la nature des risques notifiés et de la vitesse à laquelle le risque peut changer. Elle doit aussi refléter l’importance de la contribution de ces rapports à une saine gestion des risques et à une prise de décision efficace et efficiente dans toute la banque. Enfin, elle devrait augmenter en période de tensions ou de crise.
Distribution – Il faudrait distribuer les rapports sur la gestion des risques aux parties concernées en veillant à préserver leur caractère confidentiel.
Surveillance – Les autorités de contrôle devraient examiner et évaluer périodiquement la conformité d’une banque aux onze Principes qui précèdent.
Mesures correctives et mesures prudentielles – Les autorités de contrôle devraient disposer et user des instruments et des ressources nécessaires pour exiger d’une banque dont les capacités d’agrégation des données sont insuffisantes et les pratiques de notification des risques inadéquates qu’elle prenne rapidement des mesures efficaces pour y remédier. Elles devraient pouvoir utiliser une palette d’outils, notamment ceux prévus par le deuxième pilier.
Coopération entre autorités d’origine/d’accueil – Les autorités de contrôle devraient coopérer avec leurs homologues des autres juridictions aux fins de la surveillance et de l’examen des Principes, et de la mise en oeuvre d’éventuelles mesures correctives.
Une mise en œuvre difficile
Les banques systémiques d'importance mondiale qui étaient définies comme telles en devaient mettre en place cette norme pour le .
Un rapport d'audit thématique de la Banque Centrale Européenne montre que, à , aucune des 25 institutions de crédit incluses dans l'échantillon étudié n'avait complètement mis la norme en place[6]. Selon ce rapport, « les faiblesses proviennent avant tout d'un manque de clarté concernant la responsabilité des données. » Le rapport conclut notamment : « La mise en œuvre complète des principes du BCBS ne sera probablement pas réalisée dans un avenir proche, car les plannings de mise en œuvre de plusieurs institutions de crédit vont jusqu'à fin 2019 et au-delà. »
En avril 2020, un rapport du Comité de Bâle montre que « En ce qui concerne la mise en place de l'architecture de données nécessaire, aucune des banques ne respecte pleinement les principes, et pour beaucoup, l'infrastructure informatique reste difficile. Mais les efforts des banques pour mettre en œuvre les principes ont permis de réaliser des progrès tangibles dans plusieurs domaines clefs, en particulier la gouvernance, les capacités d'agrégation des données sur les risques, et les pratiques de reporting[7]. »
En novembre 2023, le Comité de Bâle affirme que « Près de dix ans après la publication initiale des principes et sept ans après la date prévue pour leur mise en conformité, les banques se trouvent à des stades différents en termes d'alignement. Des efforts supplémentaires sont nécessaires dans toutes les banques pour atteindre ou maintenir une conformité totale[8]. »