Pourquoi les feuilles de calcul critiques sont en fait des modèles (et nécessitent une gouvernance des risques)

Avec des modèles couvrant un si grand nombre de scénarios, les institutions financières sont confrontées à de nombreux problèmes. un certain nombre de difficultés Les problèmes liés à leur gouvernance suggèrent qu'ils ne sont peut-être pas équipés pour gérer le fardeau imposé par la discipline. Des éléments tels qu'un inventaire incomplet des modèles, des incohérences dans les approches de la modélisation, un mauvais suivi des modèles et un contrôle insuffisant des versions, une validation inadéquate, une mauvaise précision des modèles, des systèmes de mise en œuvre multiples, etc. sont autant d'éléments qui peuvent avoir un impact sur la gouvernance. entrave à une bonne gouvernance du risque de modèle.

En outre, les applications informatiques destinées aux utilisateurs finaux (EUC), telles que les modèles basés sur des feuilles de calcul et les calculatrices qui alimentent les modèles, ne sont pas toujours faciles à utiliser. sont également des "modèles et ainsi exigent une gouvernance. Selon le RS 11-7Le terme "modèle" désigne une méthode, un système ou une approche quantitative qui applique des théories, des techniques et des hypothèses statistiques, économiques, financières ou mathématiques pour transformer des données d'entrée en estimations quantitatives.

Un besoin croissant de visibilité

Avec certains inventaires approchant désormais les 3 000 modèles, les institutions financières s'efforcent d'obtenir une visibilité complète de ces applications, alors que les régulateurs attendent des organisations qu'elles appliquent les mêmes principes de gouvernance des modèles à tous les types de modèles, y compris les feuilles de calcul critiques pour l'entreprise. Aujourd'hui, la gouvernance des feuilles de calcul et des EUC figure spécifiquement dans de nombreux cadres réglementaires, notamment les tests de stress de la loi Dodd-Frank, la loi Sarbanes Oxley, le BCBS239, le guide des pratiques prudentielles et bien d'autres encore.

En outre, le champ d'application des GRM s'est élargi de la validation historique du modèle - c'est-à-dire que la structure, la conception et la fonction du modèle sont-elles comprises, testées et documentées - à la gouvernance globale des modèles, y compris le contrôle des modifications, le contrôle d'accès, l'auditabilité et l'établissement de rapports.

Bien sûr, les systèmes GRC sont largement déployés dans les institutions financières réglementées, mais ils ne peuvent pas toujours répondre à la rigueur des exigences réglementaires. En général, ces systèmes manque de flexibilité pour s'adapter. Les changements apportés aux systèmes GRC traditionnels nécessitent souvent l'intervention du fournisseur de solutions tierces ou du service informatique. Les délais sont longs et les dépenses importantes.

Pour y remédier, les institutions recourir à des processus manuels (par exemple, l'utilisation du courrier électronique pour les confirmations de modifications ou d'approbations), ce qui crée des problèmes supplémentaires pour les utilisateurs et l'administration. Le problème s'intensifie car les modèles, les outils et les calculateurs utilisent des données et des ressources provenant de l'environnement informatique contrôlé de l'entreprise, ainsi que de l'environnement EUC moins contrôlé, qui est principalement exploité de manière indépendante par les différentes unités commerciales elles-mêmes. Tous ces éléments combinés limitent considérablement l'efficacité et la conformité des programmes de GRM dans les institutions.

Poser des questions critiques

Pour parvenir à une transparence totale et à une approche de bout en bout du GRM, les institutions financières doivent la quadrature du cercle avec l'automatisation. Cette approche globale doit englober tous les aspects, depuis la création, la maintenance et la validation de l'inventaire des modèles (à l'échelle de l'entreprise), l'alignement du MRM sur les orientations prudentielles et réglementaires, jusqu'au suivi des normes en matière de politique et de documentation et au partage d'informations entièrement contrôlables.

Ce type d'approche technologique du MRM permet de garantir que les normes appliquées à l'ensemble de la chaîne de valeur sont respectées. tous Ils peuvent s'assurer que les modèles de l'institution sont cohérents et précis, et qu'ils sont réalisés de manière rentable. Ils peuvent déterminer l'origine et l'interdépendance des données des modèles, des outils et des calculateurs dans l'ensemble de l'entreprise. Cela permet également de maintenir l'exactitude et l'intégrité des applications, car les modèles sont développés, révisés et déclassés presque en permanence. Le MRM n'est pas un processus ou un exercice ponctuel.

Pour déclencher une telle approche du GRM, les institutions financières devraient peut-être commencer par se poser des questions critiques par exemple :

• Comment la réglementation affecte-t-elle les plans de GRM de l'organisation ?
• L'entreprise dispose-t-elle de la souplesse et de l'agilité nécessaires pour s'adapter à l'évolution des exigences réglementaires ?
• En cas d'erreur dans les processus de réglementation et de conformité, quel est l'impact potentiel pour l'entreprise sur le plan opérationnel, financier et de la réputation - à la fois à court terme et à l'avenir ?

Grâce à ce type d'informations et de connaissances approfondies, les institutions financières peuvent élaborer une stratégie de GRM bien adaptée et définir un plan d'action pour répondre aux exigences de l'entreprise de la manière la plus efficace et la plus productive possible, tout en minimisant les risques.