Tenue des données par les institutions appliquant l’approche NI

I. Introduction

La présente note expose en détail les exigences relatives à la gestion des données auxquelles doivent se soumettre les institutionsLes banques et les sociétés de portefeuille bancaires auxquelles la Loi sur les banques s’applique et les sociétés de fiducie ou de prêt fédérales auxquelles la Loi sur les sociétés de fiducie et de prêt s’applique sont collectivement désignées « institutions ». qui adoptent l’approche fondée sur les notations internes (NI), conformément au chapitre 5 de la ligne directrice A-1 du BSIF sur les Normes de fonds propres (NFP). Toutes les données quantitatives et qualitatives, importantes et pertinentes, qui ont servi à l’évaluation et à la gestion du risque de crédit doivent être conservées de façon adéquate. Les institutions devront stocker des données historiques globales pour l’ensemble des entités juridiques et des zones géographiques. Ces données portent notamment sur les emprunteurs, le détail des opérations de crédit, les caractéristiques du risque de portefeuille, les notations, la révision de notations, le défaut et les sûretés.

Afin de mener à bien la mise en œuvre de l’approche NI dans le cadre des NFP, les institutions devront relever les défis majeurs que posent la gestion des données et l’exécution en temps opportun des initiatives de technologie de l’information y afférentes. Les NFP décrivent le champ d’application de la tenue des données et certaines caractéristiques qui lui sont propres; toutefois, les attentes quant au processus même de tenue des données (ou « gestion des données », expression générique) n’y sont résumées que brièvement.

La présente note donne des indications générales sur la tenue des données et sur les principes que doivent appliquer les institutions lorsqu’elles établissent un dispositif NI à l’échelle de l’entreprise. Ces principes ne sont d’aucune manière censés être prescriptifs ou limitatifs. L’adhésion aux principes généraux décrits dans cette note constituera pour le BSIF un facteur important quant à l’approbation initiale de l’approche NI et au suivi continu de la conformité.

L’expression « tenue des données » s’entend des principales composantes du processus de gestion des données, notamment la collecte des données, leur traitement, l’accès aux données et leur extraction, de même que la conservation et le stockage.

II. Principes de tenue des données

1. Cadres supérieurs et supervision

Les institutions souhaitant obtenir l’approbation de l’approche NI devraient adopter une démarche, relativement à la gestion de leurs initiatives de technologie de l’information et de leurs processus de gestion des données, qui est adaptée à la nature, au champ d’application et à la complexité des exigences de tenue des données.

Afin de garantir la réussite de leurs programmes de tenue des données, l’approbation de l’approche NI et la conformité continue à celle-ci, les institutions devraient disposer de processus et de procédures appropriés qui font l’objet d’une supervision vigilante par les cadres supérieurs.

En particulier, les cadres supérieurs des institutions devraient évaluer l’incidence de l’exécution en temps opportun des projets de tenue des données, de même que les plans et les risques qui s’y rattachent, et prendre des mesures efficaces pour atténuer ces risques. Ils doivent notamment :

1. examiner et approuver la structure et les fonctions organisationnelles afin de faciliter la mise en place d’une architecture des données appropriée qui appuiera la mise en œuvre des NFP;

2. établir à l’échelle de l’entreprise un cadre de gestion des données définissant, au besoin, des politiques, une gouvernance, une technologie, des normes et des processus à l’égard de l’institution qui favorisent la collecte, la tenue et le contrôle des données, ainsi que la diffusion des données traitées, c’est-à-dire de l’information;

3. veiller à ce que les processus de tenue des données garantissent la sécurité, l’intégrité et la vérifiabilité des données, et ce, depuis la collecte des données jusqu’à leur archivage ou leur destruction logique;

4. instaurer, au besoin, des programmes de vérification internes qui permettront d’examiner de façon indépendante et périodique les processus et les fonctions de tenue des données;

5. s’assurer que les politiques et procédures adéquates sont en place et que les responsabilités sont bien définies, afin d’assurer, à l’échelle de l’entreprise, le suivi de la conformité au cadre de gestion des données, y compris, le cas échéant, la mise à jour continue des procédures et de la documentation.

2. Collecte des données

Dans le cadre des NFP, la composante « collecte des données » (également désignée sous le nom d’acquisition ou de saisie des données) consisterait en général à déterminer les éléments de données requis à partir de divers systèmes sources internes et externes, à les valider et à les extraire pour ensuite les acheminer vers les banques ou dépôts de données opérationnels appropriés.

Les processus de collecte de données des institutions devraient :

1. documenter de façon claire et détaillée la définition, la collecte et le regroupement des données, y compris la mise en correspondance des données avec des sous-programmes sources ou de regroupement, des schémas des données, au besoin, et d’autres identificateurs, le cas échéant;

2. instituer des normes d’exactitude, d’exhaustivité, de fiabilité et de présentation en temps opportun des données;

3. garantir que l’ampleur, la profondeur et la fiabilité des données recueillies justifient les définitions, l’attribution et la révision des notations, les paramètres de risque, les dépassements, les contrôles ex post et autres processus, les calculs du ratio de fonds propres et les rapports de gestion et de réglementation pertinents;

4. repérer et consigner des lacunes dans les données, et, le cas échéant, noter les solutions manuelles ou informatisées utilisées pour combler les lacunes et répondre aux exigences en matière de données;

5. instaurer des normes, des politiques, des procédures en rapport avec l’épuration des données, par le biais d’identificateurs permettant le rapprochement de celles-ci, par la validation des champs, le reformatage, la séparation des normes ou l’utilisation de normes cohérentes, selon le cas;

6. mettre en place des procédures de détection et de signalement d’erreurs de données et de ruptures de lien entre les données et les systèmes sources et les systèmes en aval et/ou externes.

3. Traitement des données

La composante « traitement des données » comprend une grande variété de tâches liées à la gestion des données, entre autres la décomposition du traitement en de multiples processus informatiques ou manuels, les transmissions, l’authentification du réseau ou de la source, la validation, le rapprochement, etc.

Les processus de traitement des données des institutions devraient :

1. limiter le recours à des solutions de rechange et à une manipulation manuelle des données afin d’atténuer le risque opérationnel dû à l’erreur humaine et à une diminution de l’intégrité des données;

2. établir des normes et une infrastructure de traitement des données relativement au suivi du cycle de vie des données de crédit historiques concernant, entre autres, les emprunteurs, les débiteurs, les facilités de crédit, les transactions, les remboursements, les reconductions, la restructuration et les suivis des ventes et des erreurs, au besoin;

3. garantir des niveaux appropriés de validation et d'épuration initiales des données pour chaque processus et chaque rapprochement avec les processus connexes, le cas échéant, par exemple le système comptable et celui du grand livre général, le système d’information de gestion par secteur d’activité;

4. mettre en place des contrôles adéquats pour s’assurer qu’un personnel autorisé effectue le traitement, et ce, dans le cadre de rôles et de pouvoirs bien établis;

5. instaurer des procédures adéquates de contrôle du changement pour ce qui est des modifications apportées au cadre de traitement, notamment, au besoin, l’amorce du changement, l’autorisation, les modifications de programme, les essais, le traitement parallèle, les sanctions, la diffusion et les contrôles de la bibliothèque;

6. assurer des niveaux appropriés de planification antisinistre et de capacités de reprise et de continuité du processus afin d’atténuer le risque de perte de données ou d’intégrité des données.

4. Accès aux données et extraction

Sous l’angle de la surveillance, le BSIF est d’avis qu’une composante clé de la tenue des données consiste en une mise en disponibilité continue des données et de l’information se rapportant aux institutions, afin de permettre l’approbation de l’approche NI et le suivi continu de la conformité à cette approche, notamment le contrôle ex post, la reproduction, les analyses historiques ou autres analyses de tendances.

Les institutions devraient veiller à ce que :

1. les banques de données et les sous-programmes d’extraction, de consultation et de récupération y afférents soient conçus de manière à répondre aux exigences propres des institutions en fait de données, de même qu’aux besoins continus relativement aux évaluations de surveillance de données diverses portant notamment sur les portefeuilles de crédit, les historiques, les profils des emprunteurs et des industries, les expositions, la qualité des processus et les analyses par catégorie d’actif;

2. les contrôles d’accès et la diffusion des données et de l’information soient fondés sur les rôles et les attributions des utilisateurs et sur les pratiques exemplaires de l’industrie, dans le cadre d’une séparation efficace des fonctions, en permettant un « accès restreint selon les besoins » validé par les fonctions internes de conformité et de vérification des institutions;

3. l’accès aux données ou à l’information ne soit limité par aucune entente d’impartition des services de tenue des données avec un ou plusieurs fournisseurs externes. En dépit de ces ententes, les institutions doivent être en mesure de fournir les données ou l’information sans coût supplémentaire.

5. Stockage et conservation des données

La composante « stockage et conservation » de la tenue des données répond à la fois aux attentes de conservation et d’archivage des données électroniques visant à satisfaire les critères minimaux de conservation des données historiques établis selon les NFP, et aux exigences des institutions et du BSIF qui garantissent la conformité continue de l’approche NI et qui permettent aux institutions de répondre aux demandes de données ou d’information relativement à la gestion du risque de crédit.

Les NFP exigent que les institutions utilisent toutes les données pertinentes lorsqu’elles élaborent des estimations internes de l’approche NI. Afin d’étayer ces estimations et de s’assurer que tous les risques pertinents sont pris en compte, les institutions pourraient avoir besoin des données pendant longtemps. Pour les expositions sur les entreprises, les emprunteurs souverains et les banques, il faudrait conserver les données y afférentes pendant au moins cinq ans pour les estimations de la PDProbabilité de défaut (« PD »), perte en cas de défaut (« PCD ») et exposition en cas de défaut (« ECD »). et pendant au moins sept ans pour ce qui est des estimations de la PCD et de l’ECD. Pour les expositions sur la clientèle de détail, on exige que les données qui s’y rapportent soient conservées au moins cinq ans pour les estimations de la PD, de la PCD et de l’ECD. Au moment de la mise en œuvre, les institutions ne pourront sans doute pas respecter cette norme, mais elles devraient disposer de données relatives à l’approche NI qui remontent au moins au 31 octobre 2004.

De plus, les institutions doivent :

1. établir des politiques et procédures documentées concernant le stockage, la conservation et l’archivage, y compris, au besoin, les procédures relatives à la suppression logique ou physique des données et à la destruction de supports de données et de périphériques;

2. conserver des copies de sauvegarde des banques, des bases ou des fichiers de données pertinents, de sorte que les données ou l’information soient facilement accessibles afin de répondre aux demandes relativement à la conformité de l’approche NI et aux évaluations continues de la surveillance;

3. s’assurer que les versions électroniques de toutes les données et de toute l’information pertinentes sont sous une forme lisible par machine et peuvent être rendues accessibles.