Gestion de la conformité à la réglementation (GCR) – ligne directrice (2014)

(se substitue à Gestion du respect de la législation [GRL])

I. Objet et portée de la ligne directrice

La ligne directrice sur la gestion de la conformité à la réglementation (GCR) s’adresse aux institutions financières fédérales (IFF)Les IFF comprennent les banques, les banques étrangères autorisées, les sociétés de fiducie, les sociétés de prêts, les associations coopératives de détail, les sociétés d’assurance‑vie canadiennes et étrangères (y compris les sociétés de secours mutuels), ainsi que les sociétés d’assurances multirisques canadiennes et étrangères. Pour ce qui est des IFF actives au Canada par l’intermédiaire de succursales, le terme haute direction doit être interprété comme signifiant la direction de la succursale. . Elle a pour but de leur communiquer les attentes du BSIF en matière de gestion du risque de non-conformité à la réglementation.

Elle se substitue à la ligne directrice E‑13, Gestion du respect de la législation, parue en 2003, qui ne cadrait plus tout à fait avec les principes de lignes directri​cesPar exemple, la ligne directrice Gouvernance d’entreprise parue en janvier 2013.  de bas de page plus récentes, et complète le Cadre de surveillance et les critères d’évaluation des institutions financières.

Enfin, elle reprend et étoffe de grands principes de contrôle de la GCR.

II. Définitions

(i) Gestion de la conformité à la réglementation (GCR)

Il est à noter qu’aux fins de la présente, le terme générique gestion de la conformité à la réglementation s’entend des principaux mécanismes mis en place pour contrer le risque de non‑conformité à la réglementation.

(ii) Risque de non-conformité à la réglementation (RNCR)

Aux fins de la présente ligne directrice, le risque de non-conformité à la réglementation s’entend du risque découlant de la possibilité que l’IFF ne se conforme pas aux lois, aux règles, aux règlements et aux pratiques prescrites (exigences réglementaires) en vigueur là où elle exerce ses activités. Il n’englobe toutefois pas le risque découlant de la dérogation aux normes d’éthique. Les exigences réglementaires s’appliquent à l’IFF et à ses filiales partout dans le monde; elles les obligent à prendre certaines mesures (ou le leur interdit) ou à agir ou exercer leurs activités d’une manière particulière.

(iii) Cadre de GCR

Un cadre de GCR désigne les structures, processus et autres éléments clés de contrôle par lesquels l’IFF et ses filiales gèrent et atténuent le risque de non-conformité à la réglementation inhérent à leurs activités déployées à l’échelle de l’entrepriseLe terme à l’échelle de l’entreprise désigne l’ensemble des activités commerciales que l’IFF et ses filiales exercent de par le monde. Les exigences énoncées dans la présente visent l’ensemble de l’entreprise. Toutefois, le BSIF est conscient que l’IFF dont le rayonnement est international peut adapter sa méthode générale aux réalités locales. .

III. Aperçu du cadre de GCR

Le BSIF considère qu’un cadre de GCR efficace est un élément essentiel du programme global de gestion des risques qui permet à l’IFF de s’assurer qu’elle respecte les exigences réglementaires pertinentes. La dérogation aux exigences réglementaires peut avoir de graves effets négatifs sur la réputation ou sur la sûreté et la solidité d’une IFF et éventuellement entraîner une intervention réglementaire intensifiée.

Le cadre de GCR devrait permettre à l’IFF d’appliquer une approche fondée sur les risques pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation. Le cadre devrait aussi comporter une définition de ce dernier qui est adaptée à l’IFF.

La responsabilité générale en matière d’évaluation et de gestion du risque de non-conformité à la réglementation au sein de l’IFF doit être confiée à une personne qui est indépendante de la gestion opérationnelle, qui a suffisamment de notoriété, de pouvoirs, de ressources et de soutien au sein de l’IFF pour influer sur les activités de celle‑ci et qui doit être nommée, au moins dans le cadre de ses fonctions, agent principal de la conformité (APC) de l’IFF ou l’équivalent. Même s’il y aura un poste d’APC dans la plupart des IFF, le BSIF reconnaît que la personne qui occupe ce poste peut aussi avoir d’autres responsabilités, spécialement dans le cas des petites IFF peu complexes.

Les employés auxquels des responsabilités en matière de conformité sont confiées, parmi lesquels se trouve l’APC, doivent avoir les compétences voulues et une bonne connaissance de l’entreprise et du cadre réglementaire, conditions essentielles pour assurer l’efficacité de la GCR.

Se reporter à Rôle de l’APC, ci‑dessous.

Le BSIF évalue la qualité de la GCR aux niveaux de contrôle suivants :

• la gestion opérationnelleLa gestion opérationnelle veille à ce que le personnel de première ligne de l’IFF comprenne bien les risques de dérogation à la réglementation inhérents à leurs activités et à ce que les politiques, les processus et les ressources soient de nature à permettre de les gérer efficacement. De son côté, la haute direction veillera à la mise en œuvre du cadre de GCR.  d’une activité commerciale particulière, qui est principalement responsable du contrôle exercé dans la gestion quotidienne des risques de non-conformité à la réglementation relatifs à cette activité;
• la supervision indépendante à l’échelle de l’entreprise de la gestion opérationnelle exercée par les fonctions de supervisionComme le prévoit le Cadre de surveillance, une IFF peut compter sept fonctions de supervision : finance, conformité, actuariat, gestion des risques, vérification interne, haute direction et conseil d’administration. &Les cadres de GCR des IFF devraient varier selon la nature, la taille et la complexité de l’IFF et ses risques inhérents. Lorsque certaines fonctions de supervision n’existent pas ou ne sont pas suffisamment indépendantes, le BSIF s’attend à ce que d’autres fonctions, internes ou externe à l’IFF, assurent la supervision indépendante nécessaire. Les renvois faits aux fonctions de supervision dans la présente ligne directrice ne visent pas à recommander des concepts juridiques ou des modèles organisationnels.  .

Le BSIF s’attend à ce que le cadre de GCR fasse périodiquement, à tout le moins une fois l’an, l’objet d’une révision et d’une actualisation pour voir s’il y a des choses à améliorer ou pour constater l’existence de nouveaux risques de non-conformité à la réglementation ou d’autres en évolution ou encore de nouvelles activités commerciales ou des changements dans la structure organisationnelle. La méthode d’examen devrait prévoir un mécanisme permettant de tenir les personnes ou les services responsables des tâches ou des fonctions qui leur sont attribuées.

IV. Cadre de GCR

Les mécanismes clés de contrôle, dont les fonctions de supervision, constituent les éléments de base d’un solide cadre de GCR. À tout le moins, le BSIF s’attend à ce que le cadre de GCR comprenne les éléments suivants administrés grâce à une méthode qui établit un axe de responsabilité clair et un mécanisme permettant de responsabiliser les acteurs : (i) le rôle de l’APC, (ii) les procédures pour déterminer, évaluer, communiquer, gérer et atténuer efficacement le risque de non-conformité à la réglementation et pour assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur, (iii) les procédures relatives à la conformité au quotidien, (iv) les procédures indépendantes de surveillance et de vérification, (v) les rapports internes, (vi) le rôle de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante, (vii) la documentation adéquate et (viii) le rôle de la haute directionSelon la définition à la page 3 de la ligne directrice Gouvernance d’entreprise. . Chacun de ces éléments est décrit plus en détail ci‑dessous.

(i) Rôle de l’APC

L’APC veille à ce que les mécanismes de contrôle quotidiens de l’IFF soient suffisants, respectés et efficaces et donne son avis à savoir si, d’après la supervision et la vérification indépendantes exécutées, les mécanismes de contrôle de la GCR sont suffisamment robustes pour assurer la conformité aux exigences réglementaires pertinentes à l’échelle de l’entreprise.

L’APC a un mandat clairement défini qui doit être mis par écrit; il doit pouvoir consulter librement le conseil d’administration ou la direction de la succursale et, à des fins fonctionnelles, entretenir un lien hiérarchique direct avec lui.

Se reporter à Rapports sur la conformité à la haute direction, ci‑dessous.

(ii) Procédures pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation et pour assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur

Les IFF doivent avoir en place des procédures raisonnablesPour que les mesures utilisées soient jugées raisonnables, le BSIF estime qu’elles doivent pouvoir permettre d’atteindre le résultat escompté selon le point de vue d’une personne raisonnable.  pour veiller à ce que les personnes compétentes disposent des renseignements exacts et à jour dont elles ont besoin pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation, et se tiennent au courant des exigences réglementaires pertinentes. Les procédures doivent permettre aux IFF d’adopter une approche fondée sur les risques pour gérer le risque de non-conformité à la réglementation, afin que des ressources adéquates soient affectées aux activités qui posent le plus de risque. L’information doit être actualisée au besoin afin qu’elle tienne compte des nouvelles exigences réglementaires et celles en évolution. De plus, ces procédures doivent veiller à ce que l’information soit actualisée lorsque des changements sont apportés aux produits, aux services, aux plans stratégiques, aux autres activités ou à la structure organisationnelle.

(iii) Procédures relatives à la conformité au quotidien

Des procédures adéquates doivent être intégrées à la gestionDans un modèle à trois lignes de défense, la gestion opérationnelle est souvent désignée la première ligne de défense. opérationnelle afin de garantir de façon raisonnable que l’IFF respecte les exigences réglementaires s’appliquant à ses activités quotidiennes. Ces procédures doivent être adaptées aux activités commerciales et être intégrées aux opérations commerciales correspondantes et y être tenues à jour. Les procédures doivent faire l’objet d’une supervision et d’une vérification s’appuyant sur une approche fondée sur les risques afin de s’assurer de leur adéquation, de leur efficacité et de leur mise en application dans les activités commerciales.

(iv) Procédures indépendantes de supervision et de vérification

L’adéquation, l’efficacité et la mise en application des procédures relatives à la conformité au quotidien doivent faire l’objet d’une supervision indépendanteDans ce contexte, indépendant veut dire ne pas participer directement à une fonction productrice de revenus ou à la gestion d’un secteur d’activité ou d’un produit de l’IFF.  de l’APCDans un modèle à trois lignes de défense, une fonction de conformité serait assimilée à une deuxième ligne de défense. , au moyen d’une approche fondée sur les risques. S’il y a lieu, les méthodes de supervision et de vérification indépendantesLa vérification indépendante dans la deuxième ligne ne vise pas à reproduire les travaux de la vérification interne ou à remplacer l’une de ses normes. , peu importe où elles sont appliquées au sein de l’IFF, doivent être assez uniformes à l’échelle de l’entreprise pour permettre l’agrégation des données et la détermination de tendances ou de thèmes émergents dans les mécanismes de contrôle de la conformité, qui semblent indiquer des lacunes. Les processus de contrôle de la conformité doivent inclure la vérification des principaux éléments de l’information pertinente (incluant les mesures de redressement) qui sont utilisés dans les rapports sur la conformité.

La fonction de la vérification interne ou une autre fonction d’examen indépendanteDans un modèle à trois lignes de défense, la fonction de la vérification interne ou une autre fonction d’examen indépendante désigne la troisième ligne de défense. Avoir recours à un modèle à trois lignes de défense est une façon utile de déterminer l’adéquation des responsabilités et capacités.  doit valider l’adéquation, l’efficacité et la mise en application de la supervision de la conformité. Cet exercice doit se faire selon une approche fondée sur les risques sur une base de rotation ou une autre base régulière, ce qui comprend une vérification aux deux niveaux de contrôle de la conformité, soit au niveau de la gestion opérationnelle et de celui des fonctions de supervision indépendantes. La fonction d’examen doit être indépendante des activités qu’elle examineCe sont les IFF qui déterminent la fréquence de parution de ces rapports, mais le BSIF s’attend à ce qu’elle soit au moins annuelle.  et avoir les compétences appropriées et une bonne connaissance de l’entreprise et du cadre réglementaire.

(v) Rapports internes

• Procédures en matière de rapports : Des procédures raisonnables doivent être en place pour s’assurer que l’on communique suffisamment d’informations pertinentes et vérifiables au sujet de l’adéquation, de l’efficacité et de la mise en application de la GCR à la haute direction et aux employés de l’IFF exerçant des responsabilités en matière de GCR ainsi que déterminées par les dirigeants de l’IFF. Ces procédures doivent prévoir l’agrégation des résultats des activités de supervision et de vérification pour chacun et pour l’ensemble des secteurs d’activité sous la responsabilité des destinataires du rapport.

  En plus de la documentation formelle, les procédures en matière de rapports comprennent souvent des réunions formelles et informelles tenues régulièrement et d’autres communications à l’intérieur des groupes de gestion et des fonctions de supervision et entre eux.

  Se reporter ci-après au Rôle de la haute direction.

• Rapports sur la conformité à l’intention de la haute direction : Les rapports périodiques à l’intention de la haute direction doivent être établis d’une manière et dans un format permettant aux membres de bien comprendre les risques réglementaires auxquels l’IFF est exposée ainsi que l’adéquation des mécanismes de contrôle clé utilisés pour gérer ces risques et faciliter l’exécution de leurs responsabilités de supervision. Les rapports sur la GCR couramment utilisés doivent être faits de façon régulière.

  C’est l’APC qui détermine la teneur générale et la fréquence des rapports périodiques sur la GCR qu’il adresse à la gestion opérationnelle, lesquels doivent être suffisants pour permettre à l’APC et à la haute direction de s’acquitter de leurs responsabilités à l’égard de la GCR.

  Les rapports doivent faire état, par exemple, des résultats de la supervision de la conformité à l’échelle de l’entreprise, y compris les lacunes importantesL’IFF doit définir le sens du terme important de concert avec la haute direction. du cadre de GCR, les cas importants de dérogation, les expositions importantes au risque de non-conformité à la réglementation et leur éventuel effet direct ou indirect sur l’IFF, les plans de redressement et les faits nouveaux significatifs aux plans législatif et réglementaire, les changements importants apportés aux lois et règlements, les questions de conformité qui s’étendent à l’ensemble du secteur, les nouvelles tendances et les risques réglementaires.

  Le BSIF s’attend à ce que l’APC communique toute l’information importante découlant du programme indépendant de supervision et de vérification, afin d’aider la haute direction à juger de l’adéquation du cadre de GCR et à faire un bilan de la conformité à l’échelle de l’entreprise.

  L’APC doit avoir en place des processus raisonnables lui permettant d’évaluer l’exactitude et l’efficacité de l’information ou des analyses en matière de GCR que lui transmet la gestion opérationnelle. Ces rapports doivent indiquer de manière objective si l’IFF respecte le cadre de GCR et ils doivent signaler, s’il y a lieu, les problèmes ou les questions à l’attention de la haute direction.

  L’APC doit aussi donner périodiquement son avis, au moins tous les ans, sur l’adéquation, l’efficacité et la mise en application des mécanismes de contrôle quotidiens et indiquer si, d’après les activités de supervision et de vérification indépendantes menées au sein de l’IFF, cette dernière se conforme aux exigences réglementaires en vigueur à l’échelle de l’organisation. Cet avis doit se fonder sur de l’information pertinente, vérifiée ou raisonnablement vérifiable, qui existe en quantité suffisante.

  Se reporter ci-après au Rôle de l’APC.

  Le BSIF s’attend à ce que l’APC communique, en temps utile, les cas importants de dérogation, les problèmes de conformité ainsi que toute mesure que prend la haute direction pour remédier aux problèmes ou mettre en place des mécanismes de contrôle nouveaux ou révisés.

• Rapports de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante : La fonction de la vérification interne ou une autre fonction d’examen indépendante doit rendre compte des conclusions importantes découlant des examens et des engagements de la direction à l’égard des correctifs à apporter. Les rapports doivent préciser la portée et les résultats des audits liés à la GCR, y compris une évaluation des travaux de supervision de la conformité, ainsi que la réponse et les plans d’action de la direction à cet égard, s’il y a lieu. Ces rapports devraient aider à déterminer la mesure dans laquelle les assurances au sujet de la GCR sont fiables.

  Se reporter ci-après au Rôle de la fonction de vérification interne ou d’une autre fonction d’examen indépendante.

(vi) Rôle de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante

La fonction de la vérification interne ou une autre fonction d’examen indépendante doit périodiquement examiner les activités exercées par l’APC. Elle doit prendre en considération la fiabilité de la GCR, notamment les risques de non-conformité à la réglementation importants signalés par la direction et les mécanismes de contrôle correspondants, l’exactitude des rapports sur la conformité, et une évaluation de l’efficacité de la supervision de la conformité. Les méthodes de vérification interne doivent être appliquées par des vérificateurs internes animés d’un véritable esprit critique et de remise en question.Dans son préavis de mars 2013 sur les banques d’importance systémique intérieure (BISⁱ), le BSIF a signalé que les BISⁱ canadiennes devraient généralement avoir instauré des pratiques avancées pour ce qui est de la conception et du fonctionnement des fonctions de supervision et des contrôles internes. Le BSIF s’attend à ce que les établissements continuent d’améliorer leurs pratiques au fur et à mesure que la surveillance devient plus intensive et que les pratiques internationales de pointe évoluent. 

Les conclusions découlant des examens qui sont considérées comme importantes doivent être communiquées, suivant le cas, à la gestion opérationnelle, à l’APC et à la haute direction. La haute direction doit, au besoin, surveiller les mesures prises par la gestion opérationnelle à l’égard des constatations importantes découlant des examens.

(vii) Documentation adéquate

Le BSIF s’attend à ce que les attributions des personnes qui participent à la GCR soient clairement définies. Les deux éléments clés de contrôle, à savoir la surveillance au quotidien et la supervision indépendante, doivent produire suffisamment de documents pour démontrer la façon dont le risque de non-conformité à la réglementation est géré et pour soutenir le flux des informations communiquées à l’APC et à la haute direction. Ces documents doivent aussi faciliter l'évaluation périodique du cadre de GCR.

(viii) Rôle de la haute direction

Le BSIF s’attend à ce que la haute direction supervise le cadre de GCR. Elle doit veiller à ce que :

• le cadre de GCR soit conçu, mis en œuvre et maintenu en place d’une manière qui répond aux besoins de chaque activité commerciale;
• les politiques, procédures et pratiques en matière de conformité soient adéquates et appropriées pour ce qui est de contrôler le risque de non-conformité à la réglementation, et à ce qu’elles soient appliquées à la lettre par des personnes compétentes;
• les politiques, les procédures et les pratiques en matière de conformité fassent l’objet d’un examen périodique pour s’assurer qu’elles demeurent pertinentes malgré l’évolution des circonstances et des risques de non-conformité à la réglementation;
• tous les employés comprennent bien ce qu’ils ont à faire pour se conformer à ces politiques, procédures et processus, et à ce qu’ils rendent compte de l’accomplissement de leurs responsabilités;
• les principaux résultats du contrôle quotidien et des fonctions de supervision indépendantes (y compris les résultats indiquant le degré de conformité aux exigences réglementaires en vigueur, les mesures correctrices prises et la gestion du risque de non-conformité à la réglementation) soient communiqués aux personnes qui doivent le savoir; des mesures soient prises en temps opportun à l’égard des constatations et des recommandations formulées par l’APC ou la fonction de la vérification interne ou une autre fonction d’examen indépendante;
• l’APC ait suffisamment de notoriété, de pouvoirs, de ressources et de soutien pour accomplir les tâches qui lui incombent, soit suffisamment indépendant de la gestion opérationnelle et puisse exprimer des opinions et donner des conseils objectifs à la haute direction.

La haute direction doit aussi se demander, par anticipation, si les lacunes en matière de GCR qui ont été constatées dans un secteur particulier des activités de l’IFF existent dans d’autres secteurs.

V. Évaluation prudentielle de la part du BSIF

Le BSIF réalise un travail de surveillance et de supervision de la performance des IFF afin d’évaluer leur sûreté et leur solidité ainsi que leur conformité à la réglementation et la qualité de leurs processus de contrôle et de gouvernance. Cette supervision s’exerce à l’intérieur d’un cadre fondé sur des principes et elle cible les risques importants. L’étendue des mesures de surveillance dont fait l’objet l’IFF dépend de sa nature, de sa taille, de sa complexité et de son profil de risque, ainsi que des conséquences que pourrait entraîner sa faillite.

Aux fins de la surveillance des IFF, le BSIF évalue leur cadre de GCR en regard des attentes exprimées dans la présente ligne directrice. Ces évaluations peuvent aussi avoir lieu lorsque des personnes demandent au ministre d’agréer l’enregistrement d’une nouvelle IFF ou sa constitution en société.