Les lignes directrices de la FDIC en matière de gestion des risques continuent de poser des problèmes aux institutions
Bien que la Federal Deposit Insurance Corporation (FDIC) ait mis à jour ses directives de gestion du risque de modèle en juin 2017, en vertu de la norme FIL-22-2017, il a fallu du temps pour que toutes les implications des changements filtrent pleinement.
Les équipes de modélisation, les équipes chargées des risques, les auditeurs, les équipes chargées de la conformité, ainsi que la direction générale, doivent intégrer ces exigences dans leurs processus habituels, afin que les institutions réglementées par la FDIC puissent se conformer aux exigences, tout en améliorant l'efficacité de l'entreprise et en réalisant des économies de coûts.
Situation
Les exigences de la FIL-22-17 en matière de modélisation alignent les institutions de la FDIC sur les normes de la Réserve fédérale en matière de gestion du risque de modèle (SR 11 7) et sur les exigences de l'OCC (2011-12). Ces exigences sont axées sur la manière dont les institutions gèrent leur utilisation des modèles, en fonction de leur profil de risque, de la complexité des modèles et de leur degré de dépendance à l'égard de leur utilisation.
L'essentiel des exigences de la FDIC porte sur la mise en œuvre d'un cadre de gestion du risque de modèle (Model Risk Management - MRM) qui englobe :
- Développement de modèles disciplinés et bien informés, bien documentés et solides sur le plan conceptuel
- Contrôles visant à assurer une mise en œuvre adéquate
- Processus visant à garantir une utilisation correcte et appropriée
- Des processus de validation efficaces
- Une gouvernance, des politiques et des contrôles solides.
Ces exigences concernent les établissements dont les actifs sont supérieurs à 1 milliard de dollars.
Le défi
Les modèles - autrefois réservés aux institutions les plus grandes et les plus sophistiquées - sont devenus omniprésents. La technologie et la plus grande disponibilité des outils et de l'expertise ont permis aux institutions de tirer parti des capacités de modélisation pour mieux gérer leurs investissements, leurs activités, leurs idées et le développement de leurs produits.
Une complication supplémentaire réside dans le fait que ces modèles (ainsi que les outils et les calculateurs qui les soutiennent) sont de plus en plus l'apanage des utilisateurs professionnels, plutôt que des services informatiques. Ces outils, communément appelés "Shadow IT" - qui peuvent comprendre des bases de données, des environnements de développement ou des outils de visualisation par exemple - ne sont souvent pas soumis aux mêmes contrôles et exigences de gestion que les applications informatiques de l'entreprise.
Cela favorise la rapidité et la flexibilité que les utilisateurs professionnels apprécient au plus haut point. Elle expose également les institutions à des risques opérationnels, réglementaires et de réputation, et c'est à ces risques - pour les institutions et l'économie en général - que la FDIC cherche à s'attaquer.
Les institutions doivent mettre en place un cadre qui reflète les exigences de la FDIC, mais qui fournit également un cadre unifié de gestion du risque de modèle qui couvre à la fois les modèles, les outils et les calculateurs qui fonctionnent sous l'égide de l'informatique de l'entreprise, et ceux des différentes unités opérationnelles. Le cadre de gestion doit être unifié, car les modèles, quelle que soit la personne qui les gère, peuvent être alimentés à la fois par les unités opérationnelles et par l'informatique de l'entreprise. Des données erronées peuvent avoir un impact important sur l'entreprise, indépendamment de la source et de la personne qui la contrôle.
La solution
Relever ce défi nécessitera une réflexion et une planification approfondies, compte tenu des contraintes de budget et de ressources qui sont souvent en place. Une solution MRM efficace répondra aux besoins de rapidité et de flexibilité d'une part, de contrôle de gestion et de transparence d'autre part, ainsi que de conformité réglementaire, en incluant des fonctionnalités telles que :
Un inventaire central de modèles, d'outils et de calculatrices
- Capacités complètes d'identification, de balayage et de découverte de l'inventaire.
- Évaluation des risques, criticité et évaluation des contrôles.
- Gestion des vues et des accès hautement configurable pour une expérience utilisateur sur mesure.
- Puissantes fonctions de lignage des données, d'interdépendance des données et de cartographie des connexions de données.
- Stockage complet des documents pour soutenir la documentation standardisée des modèles dans toute l'entreprise.
Gestion du cycle de vie du modèle
- Des capacités automatisées de gestion des tâches et des flux de travail pour le MRM.
- Fonctionnalité de conception flexible pour définir, construire et modifier rapidement les attributs, les flux de travail, les algorithmes et les rapports.
- Surveillance et alerte complètes et proactives pour garantir la conformité.
- Un moteur de gestion des tâches et d'attestation flexible, robuste et éprouvé.
Gestion de la sécurité et de l'audit
- Piste d'audit complète des mises à jour et des interactions avec le cadre du MRM.
- Gestion complète de la sécurité basée sur les rôles, y compris la flexibilité de définir et d'affiner les rôles et l'accès à la plateforme.
Les avantages
La solution idéale de GRM fournit
- Une capacité de gestion des informations sur les modèles entièrement configurable et centralisée.
- Gestion complète des documents et suivi des modèles tout au long de leur cycle de vie.
- Une connaissance approfondie des risques liés à votre modèle.
- Soutien à la conformité réglementaire pour les exigences du MRM de la FDIC.
- Une automatisation poussée pour réaliser des économies d'efficacité.
[bctt tweet="Une solution MRM efficace répondra aux besoins de rapidité et de flexibilité d'une part, de contrôles de gestion et de transparence d'autre part, ainsi que de conformité réglementaire." username="MitratechLegal"]