En 2016, el Banco Central Europeo (ECB) llevó a cabo una revisión temática para evaluar el cumplimiento de los principios BCBS 239 en 25 entidades significativas. Estas inspecciones in situ revelaron deficiencias graves en las prácticas RDARR que fueron objeto de seguimiento como parte de inspecciones in situ específicas y en el marco del SREP. Sin embargo, los avances se estancaron en algunas de las principales deficiencias, como la eficacia de los órganos de gobierno, las arquitecturas de datos sobre riesgos y las infraestructuras informáticas de apoyo.
En 2019, el ECB envió una carta a todas las entidades significativas bajo su supervisión, instándolas a realizar modificaciones urgentes y oportunas para implementar soluciones integrales de reporting. A pesar de ello, muchas de las deficiencias estructurales identificadas por el Supervisor siguen sin resolverse.
ECB - Guía sobre RDARR
Resumen ejecutivo
El ECB ha identificado las deficiencias en la agregación de datos de riesgos y en el reporting de riesgos (RDARR) como una vulnerabilidad clave en sus prioridades supervisoras para el periodo 2023-2025 y ha desarrollado una estrategia integral y específica para los próximos años, con el objetivo de las entidades significativas progresen sustancialmente en la remediación de las deficiencias estructurales identificadas.
Para facilitar esta labor, el ECB ha lanzado a consulta una Guía con el objetivo de ayudar a las entidades de crédito a reforzar sus capacidades en RDARR, basándose en las buenas prácticas observadas en el sector, así como para especificar y reforzar las expectativas supervisoras en este ámbito, teniendo en cuenta los principios BCBS 239.
Contenido principal
Esta Nota Técnica resume de manera ejecutiva estas expectativas supervisoras:
- Responsabilidad del órgano de dirección. El órgano de dirección debe ejercer la plena responsabilidad sobre la calidad y gobierno del dato como parte del marco de gestión global del riesgo y convertirlo en una prioridad clave.
- Alcance suficiente, en términos de informes de gestión, informes financieros y regulatorios, modelos internos y datos de riesgos relacionados.
- Marco eficaz de gobernanza de datos, donde destaca las funciones de las tres líneas de defensa: los propietarios de los datos, una función central de gobierno del dato, validación y auditoría interna.
- Arquitectura de datos integrada a nivel grupo. Esto incluye un diccionario de datos con los principales conceptos de negocio y un repositorio de metadatos que cubra las entidades jurídicas materiales, líneas de negocio, riesgos materiales e indicadores de riesgo relacionados, informes y modelos que estén dentro del ámbito de aplicación.
- Eficacia de los controles de calidad de la información. Deben implementarse controles de calidad en todo el proceso para evaluar y garantizar la precisión de los datos críticos, poniendo foco sobre las actividades manuales hasta que puedan integrarse en un entorno controlado por IT. Los riesgos de calidad de datos deben considerarse adecuadamente mediante la introducción de un margen de conservadurismo (MoC) en los procesos de autoevaluación del capital (ICAAP) y de la liquidez (ILAAP).
- Puntualidad en los informes de gestión de riesgos. Se espera que una entidad garantice que la combinación de frecuencia de información y tiempo de producción se calibre de tal manera que permita reaccionar a tiempo a los cambios en su situación de riesgo.
- Planes de implementación efectivos, con objetivos, hitos, roles, responsables y riesgos bien definidos y con un dimensionado financiero y de recursos humanos adecuado. Al menos un miembro del órgano de dirección debe ser responsable de la ejecución del plan. Además, el órgano de dirección solicita y recibe información periódica sobre el progreso del plan.
Accede a la nota técnica de Guía para la agregación eficaz de los datos de riesgos y presentación de información de riesgos (RDARR) en español e inglés.