Si la mise en place de la DSP2 semble prendre l’apparence d’une querelle entre anciens et modernes – les banques contre les fintech – la réalité s’avère plus complexe…
Ouvrir à des tiers l’accès aux données et à l’initiation de paiement pour stimuler la concurrence tout en consolidant la sécurité des paiements. C’est l’ambition de la DSP2 (directive européenne sur les services de paiement) entrée en vigueur en janvier 2018 et dont la mise en œuvre est jalonnée par de grandes étapes définies dans les normes techniques et réglementaires (aussi appelées RTS), notamment sur les interfaces d’accès (API) et l’authentification forte.
Une première échéance est tombée le 14 mars 2019, date à laquelle les banques devaient avoir déployé un portail d’API afin de mettre à disposition la documentation et un bac à sable permettant aux TPP (Tiers Prestataires de Paiement) de les éprouver. Une autre suivra le 14 septembre 2019 avec l’ouverture officielle des APIs de production. Dans le contexte de tension entre fournisseurs d’API (teneurs de comptes) et consommateurs (nouveaux acteurs), cette échéance a relancé le débat sur la capacité des banques à respecter le calendrier…
La DSP2, une transformation lourde à marche forcée
Dans ces débats, un même coupable est souvent pointé du doigt : les banques. Qui complexifieraient la sécurité ou encore publieraient des API bien trop partielles pour être exploitables. La réalité est un peu plus… complexe. Et les enjeux ne peuvent se résumer à une querelle entre les anciens (les banques installées) et les modernes (les acteurs de la fintech). Rappelons que la DSP2 est un sujet plutôt nouveau, qui concerne « juste » la sécurité des paiements et la protection des données du client. Et comme pour toute transformation lourde, les acteurs impliqués découvrent en marchant les clarifications qui doivent encore être apportées.
Oui, les différents textes, de la directive aux RTS, ont bien posé des fondamentaux. Trois catégories ont été définies pour les fameux TPP (Tiers Prestataires de Paiement), des agrégateurs de comptes aux initiateurs de paiement en passant par les émetteurs de moyens de paiement.
Des obligations pour les tpp et les banques
Pour entrer dans le jeu, ces TPP doivent remplir des conditions : obtenir un agrément auprès d’une autorité nationale, un certificat (dit « eIDAS ») auprès d’une autre autorité ou encore renoncer (quand des API sont disponibles) au webscraping. Pour rappel, cette technique consiste à collecter les données à partir des sites de banque en ligne, en utilisant les identifiants et mots de passe des clients. Les banques pour leur part doivent respecter le calendrier de déploiement et mettre à disposition les API de production pour les trois catégories de TPP le 14 septembre prochain après avoir mis en ligne, en mars dernier, bac à sable (sandbox) et documentation.
Si les règles du jeu et le calendrier sont là, que manque-t-il ? Nous pourrions résumer en disant « des délais plus cohérents et des modalités plus précises ». À défaut, pour les TPP comme pour les banques, la route manque de lisibilité.
Quelques exemples pour comprendre :
Globalement, le planning de l’autorité de régulation (ACPR, Autorité de Contrôle Prudentiel et de Résolution) a été publié fin décembre pour des actions à lancer mi-janvier et des mises en production mi-avril. Un planning plus que tendu.
Sans surprise, dans ces délais les progiciels bancaires ne sont pas prêts pour intégrer les spécificités de la DSP2.
Selon les prestataires impliqués, les certificats eIDAS ne pourraient entrer en production qu’au 3e trimestre. Compliqué dans ce contexte d’être prêt pour le 14 septembre.
Pas simple non plus pour les TPP de suivre le rythme pour revoir leur mode d’accès aux données (passer du webscraping aux API) ou encore obtenir les certificats adéquats.
Le Fallback et son exemption cristallisent aussi les critiques. Le « Fallback » désigne un mécanisme de secours en cas d’indisponibilité ou de mauvais fonctionnement des API. Les banques peuvent demander une dérogation à ce sujet. Mais le planning n’a pas été aligné en cohérence avec l’échéance 14 mars 2019 et le dossier à fournir demeure complexe. Le mécanisme de Fallback lui-même souffre d’imprécisions.
Comment recueillir le consentement des clients ? Selon quel parcours ? En imposant une redirection vers l’établissement teneur de compte ? Évidemment, ce n’est pas du goût des TPP. Pour l’heure, même à l’échelle française, aucun consensus n’émerge vraiment sur le sujet.
Le renouvellement de l’authentification ? Les RTS prévoient actuellement d’obliger les utilisateurs à se réauthentifier tous les 90 jours auprès de leurs banques. Les TPP estiment le mécanisme incompatible avec une expérience utilisateur digne de ce nom.
Gageons justement que cette expérience client, un peu perdue de vue au fil des textes réglementaires, devrait s’imposer comme l’alpha et l’oméga des discussions à venir. Et comme un objectif commun à l’ensemble des acteurs. Parce que chacun a autant à perdre qu’à gagner. Parce que, aussi, cette expérience dépend de business modèles à caler de part et d’autre.
Une certitude : la DSP2, sujet restructurant à l’échelle bancaire, appelle des investissements lourds dans des délais serrés. Et seule la coopération permettra à chacun d’y trouver des bénéfices – et pas seulement financiers –, en apportant au client final, les nouveaux services fluidifiant le paiement dans son parcours utilisateur.
Sous l’impulsion du Système européen des Banques centrales, la réglementation AnaCrédit entrera en vigueur dans sa première phase au 1er janvier 2018.
Cette réglementation a pour ambition d’harmoniser les dispositifs de collecte des données de crédit et de créer une base de statistiques européennes de référence. Celles-ci accompagneront les missions de la Banque Centrale, telles que la prise de décisions dans le cadre de la politique monétaire et de la surveillance macro prudentielle.
Toutes les banques de la place vont devoir répondre à cet objectif ambitieux avec tous les impacts d’organisation métier et SI que cela impose.
AnaCrédit c’est quoi ?
La BCE cherche à bâtir une base de données sur les crédits dans la zone Euro et MSU afin d’être mieux informée, de comprendre et de surveiller (grâce à un système de données et d’indicateurs uniformes) ses membres.
En d’autres termes, la BCE demande aux banques membres les data pour assurer sa nouvelle mission sur les crédits d’une somme égale ou supérieure à 25 000 €. L’objectif est de centraliser à un niveau de granularité fin (Prêt par prêt / Loan by Loan), les encours de crédits accordés par les institutions financières de la zone euro : (découverts, cartes de crédit, titres de créances, …)
Les data supplémentaires par rapport aux obligations réglementaires actuellement en vigueur (COREP notamment) sont le cœur d’ANACREDIT.
Qui est impacté par AnaCrédit ?
AnaCrédit est portée par la BCE, et sera donc applicable en Europe.
Au début des réflexions, étaient soumis à la réforme, les établissements G-SIBS (Global Systemically Important Bank => les 25 banques systémiques dont le défaut entrainerait automatiquement les autres banques de leur zone géographique dans le chaos). Aujourd’hui, en Europe, cela s’applique à tous les établissements au niveau groupe (pour l’Europe) mais aussi au niveau des filiales de groupes étrangers.
Les règles AnaCrédit ne seront applicables qu’à certaines entités et succursales des organismes bancaires. Le reporting est obligatoire pour chaque institution de crédit résidente d’un pays de la zone euro. Ceci inclut les succursales de ladite institution de crédit, indépendamment de leur lieu d’implantation. Les règles AnaCrédit s’appliquent également aux succursales d’institutions de crédit étrangères. Ainsi, par exemple, une succursale d’une banque britannique ou américaine installée dans un pays de la zone euro tombera dans le champ d’application des règles. Un reporting consolidé pourra être introduit dans une phase ultérieure.
Ces règles AnaCrédit ne s’appliquent pas aux filiales d’entités constituées dans la zone euro, par exemple, lorsqu’une banque constituée en France possède une filiale constituée au Royaume-Uni, cette dernière n’est pas soumise à l’obligation de reporting AnaCrédit.
Quels sont les défis d’AnaCrédit ?
Les règles étant différentes d’un pays à l’autre, les institutions financières vont devoir identifier et/ou résoudre les risques de double reporting,
AnaCrédit est une nouvelle étape clé pour les obligations de reporting des institutions financières, du fait de l’étendue du périmètre des produits couverts et de la granularité requise.
La production d’une centaine de données de crédit par ligne d’engagement à une fréquence a minima trimestrielle et le seuil de déclaration très bas des transactions vont nécessiter une refonte des plateformes permettant la collecte, l’agrégation, les calculs et la production des reportings réglementaires,
Pour les établissements de crédit, l’enjeu concerne toutes les étapes de la chaîne de valeur, à savoir : La collecte, le traitement, l’analyse, le stockage et la restitution de l’information (très dense car seuil de déclaration très bas = volumétrie importante).
Ainsi, l’objectif d’harmonisation nécessitera des métiers qu’ils adoptent des concepts et des définitions ayant des sens différents selon les pays (types de prêts, « mauvaises créances »…).
Enfin, des questions de conformité aux réglementations locales risquent de se présenter
Et concrètement ?
Le type de données à collecter concerne :
La définition de la contrepartie, la définition du produit (de crédit) et de son montant au sens Bâlois (capital restant dû, EAD, RWA, …)
La granularité de données imposera aux banques de revoir leur stratégie de stockage de données (Big Data ?), ainsi que leur mise à disposition (fin des Datawarehouse monolithique servant surtout à l’archivage des données).
Finalement, les banques vont très certainement ouvrir leurs SI Risques/Bâlois pour intégrer les besoins d’AnaCrédit.
Les impacts lors de la mise en place d’Anacrédit
Les délais ?
Une première collecte de données est prévue pour le 31/03/2018, avec une fréquence de reporting trimestrielle.
DORIAN
C’est l’acronyme pour DOnnées RIsques ANacrédit, la déclinaison du projet portée par la Banque de France.
En synthèse, L’effort sera surtout d’étendre la collecte de données au-delà de COREP, d’appliquer les calculs Bâlois et de mettre en forme un rapport « DORIAN ».
C’est aussi une opportunité pour les banques de poursuivre l’urbanisation de leur SI Risque, la fiabilisation des données et une trajectoire pour aller dans la direction des nouveaux challenges qui attendent les banques et qui requièrent une utilisation optimale des données et des indicateurs que la BCE réclame.
Il s’agira donc non seulement de répondre aux exigences du régulateur mais surtout d’utiliser cette réglementation comme un accélérateur de performance.
Règlementation risques – Perspectives 2017 au regard du chemin parcouru
Règlementation risques – Perspectives 2017 au regard du chemin parcouru
10 avril 2018
– 4 min de lecture
Jean-Luc Vergne
Perspectives 2017 au regard du chemin parcouru
Vous ne pouvez pas avoir échappé aux publications bâloises (les 3 piliers de Bâle 2 … Bâle 3 avec notamment LCR et NSFR … BCBS 239 …) mais savez-vous ce qui a marqué chaque étape de ce long chemin depuis le « Ratio Cooke » ? Avez-vous suivi tous les enjeux qui ont marqué chaque nouvelle directive majeure ? Et avez-vous une idée claire de ce qui est déjà inscrit à la liste des exigences réglementaires pour 2017 ?
Si vous êtes un peu perdus dans tous ces sigles (NPE/FBE, SA CCR, FRTB…), suivez-nous pour les repositionner sur ce long chemin de la maîtrise des risques !
Les principaux jalons
Sans entrer dans le détail des nombreuses directives intermédiaires, nous vous proposons ci-dessous une synthèse des principales étapes, avec leurs objectifs et leurs débouchés :
1988 – Bâle I
Objectif : Assurer la stabilité du système bancaire international en fixant un ensemble d’exigences de fonds propres minimales pour les banques (afin de faire face à d’éventuelles pertes). Principalement axé sur le risque de crédit (risque de non remboursement associé à un prêt accordé par une banque) : Ratio Cooke : les banques doivent financer 8% de leurs actifs pondérés avec des fonds propres.
2004 – Bâle II
Objectifs : Elargir la gamme des risques couverts. Améliorer la méthode de calcul des coefficients de pondération des risques, pour refléter plus finement la nature (et l’importance relative) du risque. Mise en place des 3 piliers : Pilier 1 – Exigences minimales de fonds propres Ratio Mc Donough : nouveau ratio qui affine le précédent en imposant aux établissements de crédit de détenir un niveau de fonds propres minimum d’avantage en adéquation avec les risques encourus (prise en compte des risques de marché et opérationnel, en plus du risque de crédit). Exigences supplémentaires en matière de composition et de qualité des fonds propres. Pilier 2 – Procédure de surveillance prudentielle Organiser un dialogue structuré entre les superviseurs bancaires et les établissements financiers placés sous leur contrôle. Pilier 3 – Discipline de marché Instaurer des règles de transparence financière sur l’état des risques et la façon de les mesurer.
2010 – Bâle III
Objectif : Tirer les conséquences des insuffisances de la réglementation Bâle II face à la crise financière de 2007/2008. Modifications apportées aux 3 piliers : Pilier 1 – Exigences minimales de fonds propres Renforcement des exigences de fonds propres : composition du noyau dur des fonds propres de base définie plus strictement et mise en place de mesures contra-cycliques (globalement, le ratio minimum passe de 8 à 10,5%). Introduction d’un ratio d’effet de levier : plafond de 3% (fonds propres Tier 1 / Total des actifs non pondérés du risque). Pilier 2 – Procédure de surveillance prudentielle Gestion du risque de liquidité avec mise en place de 2 ratios de liquidité (afin de disposer de suffisamment d’actifs liquides pour couvrir les besoins en cas de difficultés de financement) : un ratio de liquidité à court terme (LCR = Liquidity Coverage Requirement), un ratio de liquidité à long terme (NSFR = Net Stable Funding Ratio). Pilier 3 – Discipline de marché Renforcement de la communication financière.
2013–BCBS 239
Objectifs : Renforcer la capacité des banques à agréger les données risques. Améliorer les pratiques de reportings des risques à l’intérieur des établissements. 11 principes concernent les établissements d’importance systémique, sur les 3 domaines suivants : Gouvernance et infrastructure è bénéficier d’un dispositif solide. Capacités d’agrégation des données sur les risques è donner une représentation fiable des risques. Amélioration des pratiques des reportings risques è présenter les bonnes informations aux bons destinataires au bon moment. 3 principes concernent les régulateurs, sur le domaine suivant : Surveillance prudentielle, outils et coopération entre autorités de contrôle è assurer le respect et l’application des principes précédents par les banques systémiques (G-SIBs).
Et maintenant ?
Force est de constater que les réglementations dépassent à présent la définition des ratios, pour affiner les méthodes de calcul en fonction des enjeux, mais aussi s’intéresser à la pertinence des données et des processus de production des reportings.
Dans cette double perspective, le chemin se poursuit à l’horizon 2019, avec une liste bien fournie (non exhaustive) de jalons :
Poursuite de la mise en place de Bâle III, dont NPE/FBE (Non Performing Exposure / Forborne Exposure) : contrôle que les actifs les plus risqués, comme les créances douteuses ou non performantes, soient correctement valorisés et que les provisions soient suffisantes pour faire face aux impayés ;
Poursuite de la mise en place de BCBS 239 et de BCBS 242 (exigences de marge pour les dérivés sans compensation centrale) ;
Finalisation de SA CCR (Standardized Approach for measuring Counterparty Credit Risk exposure) : refonte de la méthode standard pour le calcul du CCR ;
Finalisation de FRTB (Fundamental Review of the Trading Book) : réforme majeure du dispositif de la mesure du risqué de marché ;
IFRS 9 (International Financial Reporting Standards) : mise en place de nouvelles normes de comptabilisation ; cette nouvelle façon de comptabiliser les instruments financiers (du crédit aux produits structurés) va avoir un impact sur les stratégies de gestion des risques, bien au-delà du département comptable des Banques ;
ANACREDIT (Analytical Credit Datasets) : mise en place d’un registre central de risque de crédit des banques européennes, afin d’analyser le processus de crédit et l’exposition du secteur financier européen.
Pour en savoir plus sur le Comité de Bâle…
Contexte
A la suite des différentes crises financières, de nombreuses évolutions d’ordre réglementaire se sont imposées aux établissements financiers. C’est dans ce cadre qu’est né le Comité de Bâle, en 1974.
Composition et fonctionnement
Comité de Bâle sur le contrôle bancaire, en anglais Basel Committee on Banking Supervision (BCBS).
Il s’agit d’une institution créée en 1974 par les gouverneurs des banques centrales des pays du « groupe des Dix » (le G10).
Le comité est hébergé à Bâle par la BRI (Banque des Règlements Internationaux), en anglais BIS (Bank of International Settlements).
Missions
Les objectifs principaux du comité sont les suivants :
Renforcement de la sécurité et de la fiabilité du système financier.
Etablissement de standards minimaux en matière de contrôle prudentiel.
Promotion de la coopération internationale en matière de contrôle prudentiel.
Diffusion et promotion des meilleures pratiques bancaires et de surveillance.
Le comité de Bâle ne possède pas d’autorité, ses conclusions n’ont pas force de loi : l’accord ne contient que des recommandations, à charge de chaque état de les transposer dans son droit propre et de les appliquer (engagement moral de la part des membres du comité).
Couverture géographique
Le comité est aujourd’hui composé de représentants des autorités de supervision bancaire et de banques centrales de 27 pays développés ou émergents.
Ses recommandations sont devenues « un standard prudentiel », adoptées par plus de 100 pays dans le monde.
Rhapsodies Conseil, partenaire de l’événement Banque et Innovation, vous donne rendez-vous le 1er octobre à l’hôtel des Arts & Métiers Paris 16e.
Placée sous le thème « au centre de la transformation digitale » cette 2e édition abordera les principales préoccupations des banques, qu’elles soient liées à la transformation numérique, la digitalisation, la dématérialisation ou à la modernisation de la relation client.
Des évolutions majeures qui impliquent des enjeux structurels et fondateurs des métiers de la banque.
Sur notre stand N°7
Les équipes Rhapsodies Conseil vous accueilleront sur leur stand N°7 afin d’échanger et de partager nos retours d’expériences.
Participez aux Conférences Banque et Innovation 2015
A l’heure où le multicanal est fortement prisé pour souscrire à des produits bancaires, les agences bancaires poursuivent leur mutation dans le sens du digital pour s’adapter aux mutations de l’écosystème. Tablettes, murs connectés, bornes libre-service fleurissent dans les réseaux physiques afin d’adresser une clientèle de plus en plus nomade et connectée.
Bilan et perspectives en 2015-2016 lors de Banque & Innovation 2015.
Atelier Rhapsodies Conseil : « Des fondamentaux qui restent à Aligner », animé par Franck Gerbier – Directeur Associé
Réservez votrebadge d’accès au salon et aux conférences
Informations pratiques
Date : Jeudi 1er octobre 2015 de 8h30 à 19h
Hôtel des Arts & Métiers : 9 bis, avenue d’Iéna, 75116 Paris
