Tenue des données par les institutions appliquant l’approche standard ou une approche de mesure avancée (AMA)

I. Introduction

La présente note de mise en œuvre énonce des principes clés de la tenue des données sur le risque opérationnel. Ces principes reposent sur le chapitre 6 de la ligne directrice A, Normes de fonds propres (NFP) et sur le chapitre 7 de la ligne directrice A-1, Normes de fonds propres, du BSIF.

Cette note de mise en œuvre vise les institutionsLes banques et les sociétés de portefeuille bancaires auxquelles la Loi sur les banques s’applique et les sociétés de fiducie et les sociétés de prêt fédérales auxquelles la Loi sur les sociétés de fiducie et de prêt s’applique sont collectivement désignées « institutions ».  qui souhaitent appliquer l’approche standardEn vertu de la ligne directrice sur les NFP, toute institution qui met en œuvre l’approche standard doit être en mesure d’en faire le suivi et de rendre compte des données pertinentes relatives au risque opérationnel, notamment les pertes significatives que subit une ligne de métier importante. Le BSIF convient que le degré de complexité de ce mécanisme de suivi et de reddition de comptes doit être adapté à la taille de l’institution, en prenant en compte la structure de rapport de celle-ci, ainsi que son exposition au risque opérationnel.  ou une approche de mesure avancée (AMA) au risque opérationnel. Les institutions qui appliquent l’approche indicateur de base (AIB) ne sont pas tenues de recueillir des données sur le risque opérationnel. Par contre, le BSIF encourage les institutions qui appliquent l’approche AIB et qui choisissent de recueillir des données sur le risque opérationnel à adopter les pratiques clés décrites ici, selon les besoins.

L’expression « tenue des données » s’entend des principales composantes du processus de gestion des données, notamment la collecte des données, leur traitement, l’accès aux données et leur extraction, de même que la conservation et le stockage. La présente note énonce les principes régissant certaines catégories de données sur le risque opérationnel, dont le produit brut, les cueillettes de données sur le risque opérationnel, et d’autres éléments de données pour la mesure du risque opérationnelLa présente note ne traite pas des principes d’utilisation des éléments de données en vue de quantifier les fonds propres pour le risque opérationnel. . Les données sur les risques opérationnels comprennent les données internes, les données externes et celles des analyses par scénario.

II. Principes de tenue des données

1. Haute direction et supervision

Les institutions qui souhaitent appliquer l’approche standard ou une approche de mesure avancée (AMA) doivent établir des processus de gestion de la technologie de l’information et des données qui correspondent à la nature, à la portée et à la complexité de leurs besoins de tenue des données. Le cas échéant, la haute direction doit évaluer la portée, les plans et les risques inhérents à l’exécution, en temps opportun, des projets de tenue des données.

Dans ce contexte, la haute direction doit notamment :

• examiner et approuver la structure organisationnelle et les fonctions mises en place pour faciliter le développement d’une architecture de données appropriée à l’appui de la mise en œuvre de l’approche standard ou d’une AMA;

• établir un cadre de gestion des données à l’échelle de l’entreprise qui définit, le cas échéant, les politiques, la gouvernance, la technologie, les normes et les processus de l’institution à l’appui de la collecte, de la tenue et des contrôles des données, ainsi que de la distribution des données traitées, c.-à-d. de l’information;

• veiller à ce que les processus de tenue des données assurent la sécurité, l’intégrité et la vérifiabilité des données depuis leur création jusqu’à leur destruction archivistique ou logique;

• mettre en place au besoin des tests de vérification interne pour effectuer une vérification indépendante périodique de l'efficacité des contrôles par rapport aux processus et fonctions de tenue des données;

• veiller à la mise en place des politiques, des procédures et des attributions appropriées pour surveiller l’application, à l’échelle de l’entreprise, du cadre de gestion des données, y compris la mise à jour continue des procédures et de la documentation, au besoin.

2. Collecte des données

La collecte des données sur le risque opérationnel passe habituellement par le recensement des éléments de données propres à la gestion du risque opérationnel.

Les processus de collecte des données d’une institution doivent :

• documenter, de façon claire et détaillée, la définition, la collecte et l’agrégation des données, en indiquant notamment la ventilation des données en lignes de métier de la NFP, les schémas de données si nécessaire et d’autres identificateurs, s’il en est;

• établir des normes d’exactitude, d’intégralité, de pertinence et de fiabilité des données;

• recenser et documenter les lacunes et, le cas échéant, documenter les solutions de contournement manuelles ou automatisées permettant de combler les lacunes et les besoins de données;

• établir des normes, des politiques et des procédures d’épuration des données par rapprochement, validation des champs, reformatage, décomposition ou utilisation de normes homogènes, selon le cas;

• établir des procédures de dépistage et de signalement des erreurs de données et de rupture des liens entre les données et les systèmes sources, en aval ou externes.

3. Traitement des données

Le volet « traitement des données » couvre un large éventail de tâches de gestion des données comme leur conversion au moyen de plusieurs processus automatisés ou manuels, la transmission, l’authentification des sources et des réseaux, la validation, le rapprochement, etc.

Le traitement des données par l’institution doit :

• limiter le recours aux solutions de contournement et à la manipulation manuelle des données pour atténuer le risque opérationnel lié à l’erreur humaine et la perte d’intégralité des données;

• assurer un degré adéquat de validation et d’épuration des données et un rapprochement avec chaque processus, le cas échéant;

• instaurer des contrôles adéquats pour garantir l’exécution du traitement par le personnel autorisé et conformément aux rôles désignés et aux pouvoirs établis;

• instituer des procédures adéquates de contrôle des changements du cadre de traitement comprenant, le cas échéant, l’amorce des changements, l’autorisation, la modification des programmes, les essais, le traitement parallèle, l’approbation, la diffusion et les contrôles de bibliothèque;

• assurer un degré approprié de sauvegarde en cas de désastre et de reprise des activités afin d’atténuer la perte des données ou de leur intégralité.

4. Accès aux données et extraction

Sous l’angle de la surveillance exercée par le BSIF, l’un des éléments clés de la tenue des données est le maintien de l’accès aux données et à l’information d’une institution. Qui plus est, dans le cas d’une institution appliquant une AMA, la supervision du respect des exigences minimales des NFP comprendra des contrôles ex post et des analyses des données historiques ou d’autres tendances.

L’institution doit veiller à ce que :

• les dépôts de données et les routines sous-jacentes d’extraction, de consultation et de récupération soient conçus et construits de manière à combler les besoins de données de l’institution et à assurer l’évaluation de surveillance continue des données, le cas échéant;

• les contrôles d'accès et la distribution des données et de l'information reposent sur les rôles des usagers, les attributions et les saines pratiques de l'industrie dans le contexte de la ségrégation efficace des fonctions et sont conformes au principe de l'accès sélectif, qui est vérifié par les fonctions internes de conformité et de vérification des institutions pour ce qui est de l'efficacité globale des contrôles internes conçus pour veiller à la conformité et à l'observance;

• l’accès aux données et à l’information ne soit pas restreint aux termes d’un accord d’impartitionPour de plus amples renseignements sur l’impartition, voir la ligne directrice B-10, Impartition d’activités, de fonctions et de méthodes commerciales, du BSIF.  de la tenue des données à un fournisseur de services de l’extérieur. En dépit de ces accords, l’institution doit être en mesure de fournir les données et l’information au BSIF sans frais supplémentaires.

5. Stockage et conservation des données

Le volet « stockage et conservation » de la tenue des données porte sur le fait que l’on s’attend à ce que la conservation et l’archivage des données sur support électronique répondent à la fois aux exigences minimales de durée de conservation aux fins des NFP et aux exigences de l’institution elle-même.

La ligne directrice sur les NFP prévoit qu’une institution appliquant une approche AMA doit utiliser les données internes sur les pertes à titre de l’un des éléments de données servant à mesurer les fonds propres réglementaires pour le risque opérationnel. La mesure doit reposer sur une période d’observationConformément à la ligne directrice sur les NFP, lorsqu’une banque passe au régime d’une AMA, un horizon historique de trois ans est acceptable (calculs parallèles compris).  des données internes sur les pertes d’au moins cinq ans.

Les institutions appliquant l’approche standard ou une AMA doivent aussi :

• établir des politiques et des procédures traitant du stockage, de la conservation et de l’archivage, y compris, le cas échéant, les procédures de destruction logique et physique des supports et des périphériques de stockage des données;

• conserver des copies de sauvegarde des fichiers et des bases de données pertinents de manière que les données et l’information soient aisément accessibles afin de donner suite aux demandes d’information dans le cadre des évaluations de surveillance continues du respect des exigences de l’approche standard ou de l’AMA;

• veiller à ce que les versions électroniques de l’ensemble des données et de l’information pertinentes et importantes soient lisibles par machine et accessibles.

III. Catégories de données sur le risque opérationnel

Que ce soit sous le régime de l’approche standard ou d’une AMA, la mesure des fonds propres pour risque opérationnel dépend largement de la capacité d’une institution de tenir des fichiers de données fiables sur les catégories de données sur le risque opérationnel. Ces catégories comprennent le produit brut, les pertes opérationnelles, et d’autres données qualitatives représentant les facteurs du cadre opérationnel et de contrôle interne.

Selon le paragraphe 653 de la ligne directrice sur les NFP, une institution appliquant l’approche standard doit fonder le calcul de ses exigences de fonds propres sur trois années de produit brut. En outre, par souci de gestion efficace du risque opérationnel, cette institution doit suivre et déclarer ses pertes importantes.

La mise en œuvre réussie d’une AMA exige des données détaillées, surtout aux fins du calcul des fonds propres pour risque opérationnel et de la gestion des expositions de l’institution au risque opérationnel. La méthode de calcul des fonds propres d’une institution appliquant une AMA doit comprendre quatre éléments de données : les données internes sur les pertes, les données externes sur les pertes, l’analyse par scénario et les facteurs du cadre opérationnel et de contrôle interne.

Aux principes clés de tenue des données abordés précédemment dans la présente s’ajoutent les principes spécifiques qui suivent au sujet des catégories de données sur le risque opérationnel propres à l’approche standard et aux AMA.

1. Données sur le produit brut

Selon le paragraphe 653 de la ligne directrice sur les NFP, une institution appliquant l’approche standard doit fonder le calcul de ses exigences de fonds propres sur son produit brut. Afin de tenir des données fiables sur le produit brut pour calculer ses exigences de fonds propres, et conformément aux exigences de mise en œuvre de la ligne directrice sur les NFP portant sur le produit brut, l’institution doit songer à :

• documenter le processus de distribution pour assurer la mise en concordance uniforme des données sur le produit brut;

• établir un système ou un processus qui facilite le rapprochement du produit brut indiqué dans les relevés de la ligne directrice sur les NFP avec les résultats financiers déclarés par la société;

• veiller à ce que la robustesse du système soit proportionnelle à la complexité du processus de mise en concordance des données sur le produit brut.

2. Données sur les pertes opérationnelles

(i) Données internes sur les pertes

Toutes les institutions appliquant l’approche standard doivent pouvoir faire le suivi de leurs pertes internes importantes et des données connexes par ligne de métier. Le BSIF reconnaît que les pratiques de l’industrie sur la collecte des données internes sur les pertes opérationnelles prennent forme. L’on prévoit que les systèmes de suivi varieront entre les institutions appliquant l’approche standard. Comme l’indique la ligne directrice sur les NFP, la complexité du système de suivi de l’institution doit refléter adéquatement la taille et la structure de rapport de l’institution, de même que son exposition au risque opérationnel. Par conséquent, les systèmes de suivi d’une institution seront évalués d’après sa capacité à saisir de façon approfondie ses pertes significatives relatives au risque opérationnel. Les responsabilités attribuées à la tenue des données internes sur les pertes (et ses éléments de données connexes) doivent songer à :

• veiller à ce que la tenue des données internes sur les pertes soit conforme au cadre de gestion des données établi pour l’ensemble de l’entrepriseConformément aux attributions de la haute direction décrites en page 4. ;

• déterminer et documenter la portée des données internes sur les pertes à recueillir en fonction de ses besoins de gestion du risque opérationnel;

• établir et documenter le processus de distribution des données internes sur les pertes entre les lignes de métier,

• développer et documenter des normes pour assurer l’uniformité du processus de collecte des données internes sur les pertes;

• intégrer les données internes sur les pertes aux rapports sur le risque opérationnel pour appuyer de manière efficace la gestion continue du risque opérationnel;

• veiller à ce que les processus liés à la collecte des données sur les pertes fassent l'objet d'examens périodiques indépendants.

Une institution appliquant une AMA doit aussi respecter certaines exigences de la ligne directrice sur les NFP (paragraphes 670 à 673) dans leur application à la tenue des données sur ses pertes internes. Pour faciliter la mise en œuvre de ces exigences minimales, l’institution doit songer à:

• cerner et documenter la portée des données sur les pertes recueillies aux fins du calcul des fonds propres;

• établir et documenter des normes sur l’utilisation des données internes sur les pertes aux fins du calcul des fonds propres pour risque opérationnel. Cela peut inclure l’emploi des données internes sur les pertes dans un modèle de quantification et toute utilisation des données internes sur les pertes aux fins d’analyse par scénario;

• veiller à ce que la structure et les processus organisationnels (c.-à-d. les fonctions centralisées et décentralisées) appuient le processus de collecte des données, y compris au chapitre de la pertinence et de l’intégrité;

• documenter les définitions des champs de données pour assurer l’uniformité et l’intégralité de la collecte des données;

• signaler séparément les événements générateurs des pertes (p. ex., le coût de renonciation et les pertes sur prêt liées aux pertes attribuables au risque opérationnel) comprises dans les fichiers de données mais qui ne servent pas aux fins des rapports réglementaires;

• intégrer les données internes sur les pertes, de manière complète et en temps opportun, aux rapports sur le risque opérationnel aux fins de gestion de ce risque et d’analyse de l’impact sur les fonds propres.

(ii) Données externes sur les pertes

En vertu du paragraphe 674 de la ligne directrice sur les NFP, une institution appliquant une approche AMA doit intégrer des données externes pertinentes publiques et/ou partagées au sein du secteur bancaire. Les données externes peuvent être utiles, surtout si les données internes sur les pertes de l’institution sont limitées.

Pour faciliter la mise en œuvre de ces exigences minimales, les institutions appliquant une approche AMA doivent songer à :

• cerner et documenter un processus uniforme pour déterminer la portée des données externes utilisées, en veillant à ce que les données permettent d’évaluer des pertes peu fréquentes mais potentiellement graves;

• établir et documenter des normes pour un processus systématique qui intègre les données externes aux méthodes de mesure;

• veiller à ce que les données externes soient utilisées pour mesurer adéquatement le risque opérationnel en reflétant son exposition au risque opérationnel et servent à représenter les pertes en fin de queue de distribution;

• intégrer les données externes à ses rapports sur le risque opérationnel pour appuyer efficacement la gestion continue des expositions au risque opérationnel;

• examiner périodiquement de façon indépendante les processus d'utilisation des données externes sur les pertes.

3. Autres données sur le risque opérationnel

Les autres données (qualitatives ou quantitatives) sur le risque opérationnel peuvent inclure l'analyse de scénarios, l’évaluation des risques propres aux facteurs du cadre opérationnel et de contrôle interne qui sous-tendent un profil de risque opérationnel (p. ex., les résultats des autoévaluations des risques et des contrôles, les principaux indicateurs de risque) et les notes de vérification. Dans le cas des institutions qui souhaitent appliquer une approche de mesure avancée, des exigences minimales en matière d'analyse de scénarios et de facteurs de contrôle interne ont été énoncées aux paragraphes 675 et 676 de la ligne directrice sur les NFP. Pour tenir à jour les autres données sur le risque opérationnel, l'institution doit songer à :

• établir des normes et des processus pour déterminer la portée et les critères de ces données;

• documenter l’utilisation de ces données dans le cadre de sa méthode relative au risque opérationnel;

• intégrer ces données, de manière complète et en temps opportun, aux rapports sur le risque opérationnel, le cas échéant;

• veiller à ce que les processus de collecte de ces données fassent l’objet d’un examen indépendant périodique.

IV. Conclusion

La présente note de mise en œuvre porte sur les principes qui aideront une institution à tenir des données sur le risque opérationnel. Il incombe donc aux institutions appliquant l’approche standard ou une AMA de veiller à ce que les données sur le risque opérationnel soient uniformes et fournissent un point de départ solide, fiable et représentatif pour gérer l’exposition de l’institution au risque opérationnel.

Le BSIF n’a pas expressément prescrit d’exigences pour l’utilisation des données sur le risque opérationnel aux fins du calcul des exigences de fonds propres pour risque opérationnel des institutions appliquant une AMA. Le BSIF reconnaît que la portée des données sur le risque opérationnel et les méthodes de collecte et d’intégration de ces données aux processus quantitatifs évolueront, ce qui entraînera l’émergence d’une gamme de pratiques acceptables au sein de l’industrie. Il s’attend à ce que d’autres consignes sur l’utilisation des données sur le risque opérationnel aux fins du calcul des fonds propres suivent en fonction des besoins.