La PRA et les rapports réglementaires : Gestion du risque de modèle
La récente lettre de l'autorité de régulation prudentielle britannique (PRA) aux directeurs généraux des banques et des sociétés de crédit immobilier du Royaume-Uni a mis l'accent sur l'utilisation de la gestion du risque de modèle (MRM) dans le processus d'établissement des rapports. Qu'entendons-nous par là ?
Les modèles prédictifs sont un élément essentiel de nombreux cadres réglementaires pour calculer les résultats dans un environnement commercial stressé. Les institutions disposent d'équipes de modélisation qui gèrent les modèles dans le cadre de la gestion du risque de modèle (MRM) SS3/18 de la PRA. Cependant, la nature fragmentée des rapports réglementaires signifie qu'il y a probablement de nombreux modèles avec des applications réglementaires qui échappent au champ d'application et au contrôle des équipes MRM.
La recherche de la PRA a identifié le manque de contrôles appliqués aux modèles. En l'absence de contrôles adéquats, des modifications peuvent être apportées sans être enregistrées, ce qui accroît le risque de déclaration erronée. Le manque de contrôles peut également indiquer des processus de gestion sous-optimaux dans d'autres domaines de la gestion des modèles, y compris la supervision, la documentation et l'application cohérente des politiques de GRM dans l'ensemble de l'entreprise.
GRM dans le secteur bancaire
Dans le secteur bancaire, les modèles se présentent sous de nombreuses formes.
Les feuilles de calcul peuvent être considérées comme des applications EUC, lorsque les utilisateurs utilisent la puissance et la flexibilité des feuilles de calcul pour créer des applications logicielles en dehors du contrôle et de l'influence de la fonction informatique de l'entreprise. L'utilisation des EUC dans les entreprises n'est pas inhabituelle.
Les feuilles de calcul peuvent être utilisées comme sources de données de référence, en collectant des informations à partir d'une série de systèmes centraux au sein de la banque ; comme calculateurs pour générer les données utilisées pour alimenter les rapports ; comme modèles pour aider à créer les résultats requis dans certains rapports ; ou elles peuvent être utilisées dans le processus de réconciliation pour collecter, examiner et modifier les résultats réglementaires finaux, les entreprises appliquant leur jugement d'expert dans leur "rapport final sur les milles".
Cependant, le manque de contrôle et de transparence inhérent aux feuilles de calcul signifie que des données peuvent être écrasées sans avertissement, que des erreurs de données peuvent passer inaperçues ou que des liens avec d'autres applications et sources de données peuvent être rompus sans que personne ne s'en rende compte. Dans le cadre des rapports réglementaires, le risque de soumettre à l'ARP un rapport erroné causé par ces erreurs est important.
D'autres modèles EUC basés sur des plateformes telles que SAS, MATLAB et Python sont également populaires.
Il est probable que la PRA concentrera à l'avenir son examen sur ces modèles plus incertains basés sur l'EUC. Que peut donc faire une équipe de GRM pour répondre positivement aux attentes de la PRA ?
La nature fragmentée des rapports réglementaires signifie qu'il y a probablement de nombreux modèles avec des applications réglementaires qui échappent au champ d'application et au contrôle des équipes de modélisation.
Comment gérer vos modèles EUC
La première étape consiste à créer un inventaire centralisé des modèles, qui constitue la base d'une gestion et d'un contrôle efficaces des modèles. Un inventaire vous fournit un cadre de modèle qui surveille les modèles de manière proactive. Il constitue un référentiel des documents qui définissent l'utilisation, la conception et la propriété d'un modèle. Il constitue la base du processus d'approbation du flux de travail qui est un élément crucial de la gestion du changement que l'ARP attendra.
L'étape suivante est surveiller vos modèles de manière proactive. Des processus d'attestation réguliers permettent aux utilisateurs de confirmer l'état de leurs modèles et de mettre en évidence les changements et les évolutions qui doivent être signalés à la direction, aux équipes chargées du risque et de la conformité, ainsi qu'à la PRA. Les entreprises doivent pas Ignorer les modèles basés sur des feuilles de calcul dans ce processus de surveillance et de contrôle du changement permet aux entreprises de tirer parti de l'automatisation pour être en mesure de voir où les problèmes, les erreurs et les flux de données manquants peuvent avoir un impact sur leur capacité à fournir des résultats réglementaires exacts à l'ARP. Ces alertes constituent la base des rapports qui fournissent une visibilité aux équipes de risque, de conformité et de gestion qui, selon la PRA, ont besoin d'être améliorées.
Une fois l'inventaire et les contrôles en place, la phase finale consiste à découverte, où vous vous assurez de la véracité de l'inventaire pour garantir qu'il capture tous les modèles utilisés - en particulier ceux gérés par les utilisateurs finaux (par exemple, les modèles de feuilles de calcul). Les meilleures pratiques - les attentes de la PRA - exigeront des banques qu'elles effectuent des recherches dans l'ensemble du parc informatique, sur les PC, les partitions de fichiers, les sites SharePoint ou les environnements d'informatique en nuage. Les risques de manquer un modèle qui pourrait être une feuille de calcul essentielle sont trop importants. L'utilisation généralisée des modèles EUC dans chaque processus d'entreprise nécessite des capacités de recherche puissantes, évolutives et robustes.
Mitratech propose une gamme de solutions de gestion des risques sur feuilles de calcul EUC et de solutions MRM qui sont à la pointe du marché, qui ont fait leurs preuves et qui sont utilisées par certaines des institutions les plus exigeantes. Nos solutions sont puissantes, évolutives et rapides à déployer, offrant aux institutions un moyen pratique de répondre aux besoins de l'entreprise et de la PRA.
Gérez vos feuilles de calcul Shadow IT
Avec ClusterSeven, prenez le contrôle des ressources informatiques de l'utilisateur final cachées dans votre entreprise et qui peuvent créer des risques cachés.
