Pourquoi les feuilles de calcul critiques sont en fait des modèles (et nécessitent une gouvernance des risques)
Auparavant, seules les plus grandes institutions financières étaient concernées par la gouvernance du risque de modèle (MRM). Aujourd'hui, en plus de ces institutions, plus de 100 banques de la DFAST mettent en œuvre la gouvernance du risque de modèle.
En outre, la GRM est désormais largement demandée par les auditeurs et les régulateurs. Par exemple, en Europe, les institutions adoptent le régime TRIM (Targeted Review of Internal Models); au Royaume-Uni, il y a la norme SS 3 18 ; et aux États-Unis, la norme SR 11 7 prend de plus en plus d'importance pour la GRM.
Les inventaires de modèles, qui sont essentiellement des représentations simplifiées des relations réelles entre les caractéristiques, les valeurs et les événements observés, s'étendent considérablement à mesure que l'on trouve des fichiers qui englobent tous les aspects financiers des secteurs d'activité - depuis l'évaluation et la tarification des instruments financiers et des produits dérivés, la titrisation, la modélisation des pertes de crédit jusqu'aux risques associés aux opérations commerciales et à l'information financière.
Avec des modèles couvrant autant de scénarios, les institutions financières rencontrent un certain nombre de difficultés liées à leur gouvernance, ce qui suggère qu'elles ne sont peut-être pas équipées pour gérer le fardeau imposé par la discipline. Des éléments tels qu'un inventaire incomplet des modèles, des incohérences dans les approches de la modélisation, un suivi et un contrôle des versions insuffisants, une validation inadéquate, une faible précision des modèles, des systèmes de mise en œuvre multiples, etc. entravent une bonne gouvernance du risque de modèle.
En outre, les applications informatiques destinées aux utilisateurs finaux (EUC), telles que les modèles basés sur des feuilles de calcul et les calculatrices qui alimentent les modèles, sont également des "modèles" et nécessitent donc une gouvernance. Selon la RS 11-7, "le terme modèle désigne une méthode, un système ou une approche quantitative qui applique des théories, des techniques et des hypothèses statistiques, économiques, financières ou mathématiques pour transformer des données d'entrée en estimations quantitatives".
Un besoin croissant de visibilité
Avec certains inventaires approchant désormais les 3 000 modèles, les institutions financières s'efforcent d'obtenir une visibilité complète de ces applications, alors que les régulateurs attendent des organisations qu'elles appliquent les mêmes principes de gouvernance des modèles à tous les types de modèles, y compris les feuilles de calcul critiques pour l'entreprise. Aujourd'hui, la gouvernance des feuilles de calcul et des EUC figure spécifiquement dans de nombreux cadres réglementaires, notamment les tests de stress de la loi Dodd-Frank, la loi Sarbanes Oxley, le BCBS239, le guide des pratiques prudentielles et bien d'autres encore.
En outre, le champ d'application du MRM s'est élargi, passant de la validation du modèle - c'est-à-dire que la structure, la conception et la fonction du modèle sont-elles comprises, testées et documentées - à la gouvernance globale des modèles, y compris le contrôle des modifications, le contrôle d'accès, l'auditabilité et l'établissement de rapports.
Bien sûr, les systèmes GRC sont largement déployés dans les institutions financières réglementées, mais ils ne peuvent pas toujours répondre à la rigueur des exigences réglementaires. Ces systèmes manquent généralement de souplesse pour s'adapter. Les changements apportés aux systèmes GRC traditionnels nécessitent souvent l'intervention du fournisseur de solutions tierces ou du service informatique. Les délais sont longs et les dépenses importantes.
Pour y remédier, les institutions ont donc souvent recours à des processus manuels (par exemple, l'utilisation du courrier électronique pour confirmer les changements/approbations), ce qui crée d'autres problèmes pour les utilisateurs et la direction. Le problème s'intensifie lorsque les modèles, les outils et les calculateurs utilisent des données et des ressources provenant de l'environnement informatique contrôlé de l'entreprise, ainsi que de l'environnement EUC moins contrôlé, qui est principalement exploité de manière indépendante par les différentes unités opérationnelles. Tous ces éléments combinés limitent considérablement l'efficacité et la conformité des programmes de GRM dans les institutions.
Poser des questions critiques
Pour parvenir à une transparence totale et à une approche de bout en bout de la GRM, les institutions financières doivent résoudre la quadrature du cercle par l'automatisation. Cette approche globale doit tout englober, depuis la création, la maintenance et la validation de l'inventaire des modèles (à l'échelle de l'entreprise), l'alignement de la GRM sur les orientations prudentielles et réglementaires, jusqu'au suivi des normes en matière de politique et de documentation et au partage d'informations entièrement contrôlables.
Ce type d'approche technologique du MRM garantit que les normes appliquées à tous les modèles de l'institution sont cohérentes, précises et réalisées de manière rentable. Elle permet de déterminer la filiation et l'interdépendance des données des modèles, des outils et des calculateurs dans l'ensemble de l'entreprise. Il permet également de maintenir l'exactitude et l'intégrité des applications, étant donné que les modèles sont développés, révisés et déclassés presque constamment. Le MRM n'est pas un processus ou un exercice ponctuel.
Pour déclencher une telle approche du MRM, les institutions financières devraient peut-être commencer par se poser des questions cruciales telles que
- Comment la réglementation affecte-t-elle les plans de GRM de l'organisation ?
- L'entreprise dispose-t-elle de la souplesse et de l'agilité nécessaires pour s'adapter à l'évolution des exigences réglementaires ?
- En cas d'erreur dans les processus de réglementation et de conformité, quel est l'impact potentiel pour l'entreprise sur le plan opérationnel, financier et de la réputation - à la fois à court terme et à l'avenir ?
Grâce à ce type d'informations et de connaissances approfondies, les institutions financières peuvent élaborer une stratégie de GRM bien adaptée et définir un plan d'action pour répondre aux exigences de l'entreprise de la manière la plus efficace et la plus productive possible, tout en minimisant les risques.
Gérez vos feuilles de calcul Shadow IT
Avec ClusterSeven, prenez le contrôle des ressources informatiques de l'utilisateur final cachées dans votre entreprise et qui peuvent créer des risques cachés.