Le 20 août 2015, le Bureau du surintendant des institutions financières (« BSIF ») a publié son Projet de ligne directrice E-21 : Gestion du risque opérationnel (le « projet de ligne directrice ») aux fins de consultation. Le projet de ligne directrice vise à permettre au BSIF de « donner une vue complète de la gestion du risque opérationnel et des consignes du BSIF s’y rapportant à l’intention de toutes les IFF » et de combler ce qu’il juge être une lacune dans les consignes existantes. 

Aux termes du projet de ligne directrice, le BSIF s’attend à ce que toutes les institutions financières fédérales (« IFF »), à l’exception des succursales de banques étrangères et de sociétés d’assurances étrangères, établissent et maintiennent en place un dispositif pour contrôler la gestion du risque opérationnel à l’échelle de l’entreprise. Le dispositif mis en place par les IFF devrait s’inspirer des quatre « principes directeurs » énoncés dans le projet de ligne directrice. Même si certaines distinctions sont faites entre les petites et les grandes IFF, le projet de ligne directrice, s’il devait entrer en vigueur dans sa forme actuelle, imposerait un fardeau réglementaire beaucoup plus lourd à l’ensemble des IFF, notamment celles qui sont de petite et de moyenne taille.

PORTÉE DU RISQUE OPÉRATIONNEL

Dans le projet de ligne directrice, le risque opérationnel s’entend du « risque d’encourir des pertes découlant de lacunes ou de défauts attribuables aux ressources humaines et matérielles, telles que des procédures et des systèmes internes, ou résultant d’événements déclencheurs externes ». La définition des sources de pertes doit être prise au sens large, mais exclut entre autres le risque stratégique et le risque d’atteinte à la réputation. Par ailleurs, la définition du risque opérationnel pour les IFF englobe également le risque opérationnel lié aux ententes d’impartition. Le BSIF propose d’évaluer la gestion du risque opérationnel par les IFF dans le cadre de ses activités de surveillance continue.

Voici les quatre principes sur lesquels l’approche des IFF doit s’appuyer afin de gérer le risque opérationnel :

Principe no 1 : La gestion du risque opérationnel est bien consignée et entièrement intégrée au programme global de gestion des risques de l’IFF.

Le BSIF s’attend à ce que chaque IFF mette en place un cadre documenté permettant de cerner et de gérer le risque opérationnel (« cadre de gestion »). Le projet de ligne directrice précise les multiples éléments que le cadre de gestion doit « prendre en compte », y compris une répartition claire des obligations redditionnelles et des responsabilités à l’égard de la gestion du risque opérationnel; les outils de quantification et de communication du risque dont se sert l’IFF et la façon dont ils sont utilisés dans les faits au sein de l’IFF; et les structures de gouvernance utilisées pour gérer le risque opérationnel.

Le BSIF indique que la documentation définitive du cadre de gestion variera en fonction de la nature de l’IFF, de sa taille, de la complexité de ses activités et de son profil de risque, mais ne fournit pas de consigne relativement aux éléments pouvant être plus appropriés pour les IFF de taille moindre ou quant à savoir s’il serait acceptable qu’une IFF n’aborde pas certains des éléments énumérés. 

Principe no 2 : La gestion du risque opérationnel soutient la structure globale de gouvernance de l’IFF. À ce titre, l’IFF doit produire une déclaration de sa propension à prendre des risques et la mettre en application.

Conformément au projet de ligne directrice, les IFF seraient tenues de produire et de tenir à jour une déclaration sur leur propension à prendre des risques (« déclaration »). La déclaration devrait faire partie du cadre général de propension à prendre des risques approuvé par le conseil d’administration de l’IFF, mais les IFF de taille et de complexité moindres faiblement exposées au risque opérationnel pourraient satisfaire à cette exigence sans faire une large place à leur exposition à cette forme de risque dans leur déclaration générale.

La déclaration devrait comprendre un élément mesurable afin de donner une indication du niveau de risque opérationnel considéré comme acceptable au sein de l’IFF et du niveau à partir duquel les incidents opérationnels ou les tendances cumulées entraînent un signalement à la haute direction ou au conseil d’administration de l’IFF. Le projet de ligne directrice décrit les éléments à prendre en compte au moment de formuler la déclaration et précise les responsabilités particulières de la haute direction à l’égard de la déclaration. De plus, le conseil d’administration et la haute direction de l’IFF devraient périodiquement s’interroger sur le caractère approprié de la déclaration pour confirmer qu’elle demeure raisonnable et convenable.

Principe no 3 : Les IFF veillent à la responsabilisation efficace des acteurs de la gestion du risque opérationnel. Une structure fiable, telle que le modèle à « trois lignes de défense », permet d’établir une distinction entre les diverses pratiques clés de la gestion du risque opérationnel et d’en faire un examen indépendant et une analyse critique adéquate. L’instauration de cette mesure en termes de structure opérationnelle dépend du modèle d’affaires et du profil de risque de l’IFF.

Le projet de ligne directrice souligne qu’une structure telle que le modèle à « trois lignes de défense » pourrait être une façon de responsabiliser les acteurs de la gestion du risque opérationnel, mais n’indique pas expressément que d’autres structures peuvent aussi être utilisées et que d’autres principes s’appuient sur les « trois lignes de défense ». Le projet de ligne directrice explique les attributions de chaque ligne de défense. En outre, le BSIF est conscient que selon la nature, la taille, la complexité des activités et le profil de risque d’une IFF, un certain empiétement des attributions des acteurs de la deuxième ligne de défense sur celles de la première ligne de défense sera acceptable, mais la troisième ligne de défense devra demeurer indépendante.

  • Première ligne de défense : C’est le secteur d’activité qui est propriétaire du risque et chargé de planifier, de diriger et de contrôler les opérations courantes d’une activité d’envergure et d’identifier et de gérer les risques opérationnels inhérents aux produits, aux activités et aux processus et systèmes dont il est responsable.
  • Deuxième ligne de défense : Ce sont les activités de supervision qui sont chargées de cerner, de quantifier, de surveiller et de communiquer indépendamment le risque opérationnel à l’échelle de l’entreprise. L’une des principales fonctions de la deuxième ligne de défense consiste à remettre en question les données d’entrée que la première ligne de défense a introduites dans les outils de gestion et de production de rapports de l’IFF, de même que les données de sortie qu’elles en tirent, afin de confirmer qu’elles sont complètes et sûres.
  • Troisième ligne de défense : C’est la fonction d’audit interne qui procède, de façon indépendante, à l’examen et à la vérification des mesures de contrôle, des processus et des systèmes de gestion du risque opérationnel de l’IFF et de l’efficacité des deux premières lignes. Le champ d’application des vérifications et des examens doit être assez large pour permettre de vérifier si le cadre de gestion du risque opérationnel est approprié et fonctionne bien, compte tenu de la taille de l’IFF, de la complexité de ses activités et de son profil de risque.

Principe no 4 : L’IFF veille à l’identification et à l’évaluation complète du risque opérationnel à l’aide d’outils de gestion adéquats. Le fait d’avoir à sa disposition une série d’outils de gestion du risque opérationnel permet à l’institution de réunir des informations pertinentes sur le risque opérationnel et de les communiquer à l’interne et aux autorités de surveillance.

Le projet de ligne directrice énumère divers outils qui, selon le BSIF, devraient généralement être utilisés, notamment une taxonomie du risque opérationnel, une évaluation des risques et des mesures de contrôle, une analyse de scénario et simulation de crise et une analyse comparative. Le projet de ligne directrice précise la ligne de défense qui devrait être responsable de chaque outil. Les outils qu’utilise une IFF pour cerner et évaluer le risque opérationnel sont fonction de la nature, de la taille, de la complexité des activités et du profil de risque de celle-ci. Le projet de ligne directrice indique expressément que le BSIF s’attend à ce que les IFF de grande taille et dont les activités sont complexes disposent d’un ensemble fiable d’outils de gestion du risque opérationnel, alors que les IFF de taille et de complexité moindres faiblement exposées au risque opérationnel peuvent se contenter d’utiliser quelques outils mis en œuvre adéquatement. Par contre, le projet de ligne directrice ne propose pas de hiérarchie parmi les divers outils ni ne précise ceux qui seraient appropriés selon les différents types d’IFF.

RÉFLEXION

Le projet de ligne directrice mentionne à plusieurs reprises que la nature de l’IFF, sa taille, la complexité de ses activités et son profil de risque façonneront son approche à l’égard de la gestion du risque opérationnel et laisse entendre que le BSIF acceptera différentes approches, s’il y a lieu. Le Résumé de l’étude d’impact de la ligne directrice souligne en outre que « [la] ligne directrice donnera également, par exemple, une plus grande marge de manœuvre aux institutions de taille et de complexité moindres faiblement exposées au risque opérationnel en ce qui a trait aux attentes en matière de surveillance ». Il reste à voir dans quelle mesure le BSIF fera preuve de souplesse. Les IFF qui choisiront de modifier les étapes prévues dans le projet de ligne directrice devront probablement justifier ces modifications et bien documenter les décisions ayant mené à celles-ci. Le BSIF s’attendra sûrement à ce que les IFF de taille moindre mettent en œuvre l’ensemble des composantes du projet de ligne directrice, quoique à plus petite échelle, à titre de compromis.

Si le projet de ligne directrice entre en vigueur dans sa forme actuelle, il viendra s’ajouter aux attentes en matière de gestion du risque et de gouvernance imposées aux IFF par le BSIF. Le Résumé de l’étude d’impact de la ligne directrice précise que le projet de ligne directrice vise à consolider les consignes existantes et par conséquent à simplifier les processus de gouvernance pour les IFF, mais ces dernières trouveront sans doute qu’il alourdit considérablement leurs obligations relativement à la gestion du risque.

Les IFF ont jusqu’au 9 octobre 2015 pour faire parvenir au BSIF leurs commentaires sur le projet de ligne directrice.