Gestion de la conformité à la réglementation (GCR) – ligne directrice (2014)

Informations
Type de publication
Ligne directrice
Catégorie
Saines pratiques commerciales et financières
Date
Secteur
Banques,
Succursales de banques étrangères,
Sociétés d'assurance vie et de secours mutuels,
Sociétés des assurances multirisques,
Sociétés de fiducie et de prêts
No
E-13
Table des matières

(se substitue à Gestion du respect de la législation [GRL])

I. Objet et portée de la ligne directrice

La ligne directrice sur la gestion de la conformité à la réglementation (GCR) s’adresse aux institutions financières fédérales (IFF)Note de bas de page 1. Elle a pour but de leur communiquer les attentes du BSIF en matière de gestion du risque de non-conformité à la réglementation.

Elle se substitue à la ligne directrice E‑13, Gestion du respect de la législation, parue en 2003, qui ne cadrait plus tout à fait avec les principes de lignes directrices plus récentesNote de bas de page 2.

Enfin, elle reprend et étoffe de grands principes de contrôle de la GCR.

Le BSIF sait que les pratiques des IFF en matière de GCR peuvent varier en raison de facteurs tels que la taille, la structure du capital social, la nature, l’étendue et la complexité des activités, la stratégie d’entreprise, le profil de risque et la situation géographique.

II. Définitions

(i) Gestion de la conformité à la réglementation (GCR)

Il est à noter qu’aux fins de la présente, le terme générique gestion de la conformité à la réglementation s’entend des principaux mécanismes mis en place pour contrer le risque de non‑conformité à la réglementation.

(ii) Risque de non-conformité à la réglementation (RNCR)

Aux fins de la présente ligne directrice, le risque de non-conformité à la réglementation s’entend du risque découlant de la possibilité que l’IFF ne se conforme pas aux lois, aux règles, aux règlements et aux pratiques prescrites (exigences réglementaires) en vigueur là où elle exerce ses activités. Il n’englobe toutefois pas le risque découlant de la dérogation aux normes d’éthique. Les exigences réglementaires s’appliquent à l’IFF et à ses filiales partout dans le monde; elles les obligent à prendre certaines mesures (ou le leur interdit) ou à agir ou exercer leurs activités d’une manière particulière.

(iii) Cadre de GCR

Un cadre de GCR désigne les structures, processus et autres éléments clés de contrôle par lesquels l’IFF et ses filiales gèrent et atténuent le risque de non-conformité à la réglementation inhérent à leurs activités déployées à l’échelle de l’entrepriseNote de bas de page 3.

III. Aperçu du cadre de GCR

Le BSIF considère qu’un cadre de GCR efficace est un élément essentiel du programme global de gestion des risques qui permet à l’IFF de s’assurer qu’elle respecte les exigences réglementaires pertinentes. La dérogation aux exigences réglementaires peut avoir de graves effets négatifs sur la réputation ou sur la sûreté et la solidité d’une IFF et éventuellement entraîner une intervention réglementaire intensifiée.

Le cadre de GCR devrait permettre à l’IFF d’appliquer une approche fondée sur les risques pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation. Le cadre devrait aussi comporter une définition de ce dernier qui est adaptée à l’IFF.

La responsabilité générale en matière d’évaluation et de gestion du risque de non-conformité à la réglementation au sein de l’IFF doit être confiée à une personne qui est indépendante de la gestion opérationnelle, qui a suffisamment de notoriété, de pouvoirs, de ressources et de soutien au sein de l’IFF pour influer sur les activités de celle‑ci et qui doit être nommée, au moins dans le cadre de ses fonctions, agent principal de la conformité (APC) de l’IFF ou l’équivalent. Même s’il y aura un poste d’APC dans la plupart des IFF, le BSIF reconnaît que la personne qui occupe ce poste peut aussi avoir d’autres responsabilités, spécialement dans le cas des petites IFF peu complexes.

Les employés auxquels des responsabilités en matière de conformité sont confiées, parmi lesquels se trouve l’APC, doivent avoir les compétences voulues et une bonne connaissance de l’entreprise et du cadre réglementaire, conditions essentielles pour assurer l’efficacité de la GCR.

Se reporter à Rôle de l’APC, ci‑dessous.

Le BSIF évalue la qualité de la GCR aux niveaux de contrôle suivants :

  • la gestion opérationnelleNote de bas de page 4 d’une activité commerciale particulière, qui est principalement responsable du contrôle exercé dans la gestion quotidienne des risques de non-conformité à la réglementation relatifs à cette activité;
  • la supervision indépendante à l’échelle de l’entreprise de la gestion opérationnelle exercée par les fonctions de supervisionNote de bas de page 5 Note de bas de page 6.

Le BSIF s’attend à ce que le cadre de GCR fasse périodiquement, à tout le moins une fois l’an, l’objet d’une révision et d’une actualisation pour voir s’il y a des choses à améliorer ou pour constater l’existence de nouveaux risques de non-conformité à la réglementation ou d’autres en évolution ou encore de nouvelles activités commerciales ou des changements dans la structure organisationnelle. La méthode d’examen devrait prévoir un mécanisme permettant de tenir les personnes ou les services responsables des tâches ou des fonctions qui leur sont attribuées.

Le BSIF appliquera son programme de surveillance de la GCR d’une manière qui convient à la situation de chaque IFF, laquelle, quelle que soit sa taille, est censée avoir en place des mécanismes de contrôle de gestion des risques qui sont proportionnés aux risques relevés.

IV. Cadre de GCR

Les mécanismes clés de contrôle, dont les fonctions de supervision, constituent les éléments de base d’un solide cadre de GCR. À tout le moins, le BSIF s’attend à ce que le cadre de GCR comprenne les éléments suivants administrés grâce à une méthode qui établit un axe de responsabilité clair et un mécanisme permettant de responsabiliser les acteurs : (i) le rôle de l’APC, (ii) les procédures pour déterminer, évaluer, communiquer, gérer et atténuer efficacement le risque de non-conformité à la réglementation et pour assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur, (iii) les procédures relatives à la conformité au quotidien, (iv) les procédures indépendantes de surveillance et de vérification, (v) les rapports internes, (vi) le rôle de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante, (vii) la documentation adéquate et (viii) le rôle de la haute directionNote de bas de page 7. Chacun de ces éléments est décrit plus en détail ci‑dessous.

Le BSIF s’attend à ce que les IFF établissent et maintiennent en place un cadre de GCR efficace à l’échelle de l’entreprise. Les mécanismes de contrôle de la GCR doivent inclure la supervision par des personnes ou des fonctions de supervision qui sont indépendantes des activités qu’elles supervisent.

(i) Rôle de l’APC

L’APC veille à ce que les mécanismes de contrôle quotidiens de l’IFF soient suffisants, respectés et efficaces et donne son avis à savoir si, d’après la supervision et la vérification indépendantes exécutées, les mécanismes de contrôle de la GCR sont suffisamment robustes pour assurer la conformité aux exigences réglementaires pertinentes à l’échelle de l’entreprise.

L’APC a un mandat clairement défini qui doit être mis par écrit; il doit pouvoir consulter librement le conseil d’administration ou la direction de la succursale et, à des fins fonctionnelles, entretenir un lien hiérarchique direct avec lui.

Se reporter à Rapports sur la conformité à la haute direction, ci‑dessous.

Lorsque certaines fonctions de supervision n’existent pas ou ne sont pas suffisamment indépendantes, le BSIF s’attend à ce que d’autres fonctions, internes ou externe à l’IFF, assurent la supervision indépendante nécessaire.

(ii) Procédures pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation et pour assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur

Les IFF doivent avoir en place des procédures raisonnablesNote de bas de page 8 pour veiller à ce que les personnes compétentes disposent des renseignements exacts et à jour dont elles ont besoin pour déterminer, évaluer, communiquer, gérer et atténuer le risque de non-conformité à la réglementation, et se tiennent au courant des exigences réglementaires pertinentes. Les procédures doivent permettre aux IFF d’adopter une approche fondée sur les risques pour gérer le risque de non-conformité à la réglementation, afin que des ressources adéquates soient affectées aux activités qui posent le plus de risque. L’information doit être actualisée au besoin afin qu’elle tienne compte des nouvelles exigences réglementaires et celles en évolution. De plus, ces procédures doivent veiller à ce que l’information soit actualisée lorsque des changements sont apportés aux produits, aux services, aux plans stratégiques, aux autres activités ou à la structure organisationnelle.

(iii) Procédures relatives à la conformité au quotidien

Des procédures adéquates doivent être intégrées à la gestion opérationnelleNote de bas de page 9 afin de garantir de façon raisonnable que l’IFF respecte les exigences réglementaires s’appliquant à ses activités quotidiennes. Ces procédures doivent être adaptées aux activités commerciales et être intégrées aux opérations commerciales correspondantes et y être tenues à jour. Les procédures doivent faire l’objet d’une supervision et d’une vérification s’appuyant sur une approche fondée sur les risques afin de s’assurer de leur adéquation, de leur efficacité et de leur mise en application dans les activités commerciales.

(iv) Procédures indépendantes de supervision et de vérification

L’adéquation, l’efficacité et la mise en application des procédures relatives à la conformité au quotidien doivent faire l’objet d’une supervision indépendanteNote de bas de page 10 de l’APCNote de bas de page 11. S’il y a lieu, les méthodes de supervision et de vérification indépendantesNote de bas de page 12, peu importe où elles sont appliquées au sein de l’IFF, doivent être assez uniformes à l’échelle de l’entreprise pour permettre l’agrégation des données et la détermination de tendances ou de thèmes émergents dans les mécanismes de contrôle de la conformité, qui semblent indiquer des lacunes. Les processus de contrôle de la conformité doivent inclure la vérification des principaux éléments de l’information pertinente (incluant les mesures de redressement) qui sont utilisés dans les rapports sur la conformité.

La fonction de la vérification interne ou une autre fonction d’examen indépendanteNote de bas de page 13 doit valider l’adéquation, l’efficacité et la mise en application de la supervision de la conformité. Cet exercice doit se faire selon une approche fondée sur les risques sur une base de rotation ou une autre base régulière, ce qui comprend une vérification aux deux niveaux de contrôle de la conformité, soit au niveau de la gestion opérationnelle et de celui des fonctions de supervision indépendantes. La fonction d’examen doit être indépendante des activités qu’elle examine et avoir les compétences appropriées et une bonne connaissance de l’entreprise et du cadre réglementaire.

(v) Rapports internes

  1. Procédures en matière de rapports : Des procédures raisonnables doivent être en place pour s’assurer que l’on communique suffisamment d’informations pertinentes et vérifiables au sujet de l’adéquation, de l’efficacité et de la mise en application de la GCR à la haute direction et aux employés de l’IFF exerçant des responsabilités en matière de GCR ainsi que déterminées par les dirigeants de l’IFF. Ces procédures doivent prévoir l’agrégation des résultats des activités de supervision et de vérification pour chacun et pour l’ensemble des secteurs d’activité sous la responsabilité des destinataires du rapport.

    En plus de la documentation formelle, les procédures en matière de rapports comprennent souvent des réunions formelles et informelles tenues régulièrement et d’autres communications à l’intérieur des groupes de gestion et des fonctions de supervision et entre eux.

    Se reporter ci-après au Rôle de la haute direction.

  2. Rapports sur la conformité à l’intention de la haute direction : Les rapports périodiques à l’intention de la haute direction doivent être établis d’une manière et dans un format permettant aux membres de bien comprendre les risques réglementaires auxquels l’IFF est exposée ainsi que l’adéquation des mécanismes de contrôle clé utilisés pour gérer ces risques et faciliter l’exécution de leurs responsabilités de supervision. Les rapports sur la GCR couramment utilisés doivent être faits de façon régulièreNote de bas de page 14.

    C’est l’APC qui détermine la teneur générale et la fréquence des rapports périodiques sur la GCR qu’il adresse à la gestion opérationnelle, lesquels doivent être suffisants pour permettre à l’APC et à la haute direction de s’acquitter de leurs responsabilités à l’égard de la GCR.

    Les rapports doivent faire état, par exemple, des résultats de la supervision de la conformité à l’échelle de l’entreprise, y compris les lacunes importantesNote de bas de page 15 du cadre de GCR, les cas importants de dérogation, les expositions importantes au risque de non-conformité à la réglementation et leur éventuel effet direct ou indirect sur l’IFF, les plans de redressement et les faits nouveaux significatifs aux plans législatif et réglementaire, les changements importants apportés aux lois et règlements, les questions de conformité qui s’étendent à l’ensemble du secteur, les nouvelles tendances et les risques réglementaires.

    Le BSIF s’attend à ce que l’APC communique toute l’information importante découlant du programme indépendant de supervision et de vérification, afin d’aider la haute direction à juger de l’adéquation du cadre de GCR et à faire un bilan de la conformité à l’échelle de l’entreprise.

    L’APC doit avoir en place des processus raisonnables lui permettant d’évaluer l’exactitude et l’efficacité de l’information ou des analyses en matière de GCR que lui transmet la gestion opérationnelle. Ces rapports doivent indiquer de manière objective si l’IFF respecte le cadre de GCR et ils doivent signaler, s’il y a lieu, les problèmes ou les questions à l’attention de la haute direction.

    L’APC doit aussi donner périodiquement son avis, au moins tous les ans, sur l’adéquation, l’efficacité et la mise en application des mécanismes de contrôle quotidiens et indiquer si, d’après les activités de supervision et de vérification indépendantes menées au sein de l’IFF, cette dernière se conforme aux exigences réglementaires en vigueur à l’échelle de l’organisation. Cet avis doit se fonder sur de l’information pertinente, vérifiée ou raisonnablement vérifiable, qui existe en quantité suffisante.

    Se reporter ci-après au Rôle de l’APC.

    Le BSIF s’attend à ce que l’APC communique, en temps utile, les cas importants de dérogation, les problèmes de conformité ainsi que toute mesure que prend la haute direction pour remédier aux problèmes ou mettre en place des mécanismes de contrôle nouveaux ou révisés.

  3. Rapports de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante : La fonction de la vérification interne ou une autre fonction d’examen indépendante doit rendre compte des conclusions importantes découlant des examens et des engagements de la direction à l’égard des correctifs à apporter. Les rapports doivent préciser la portée et les résultats des audits liés à la GCR, y compris une évaluation des travaux de supervision de la conformité, ainsi que la réponse et les plans d’action de la direction à cet égard, s’il y a lieu. Ces rapports devraient aider à déterminer la mesure dans laquelle les assurances au sujet de la GCR sont fiables.

    Se reporter ci-après au Rôle de la fonction de vérification interne ou d’une autre fonction d’examen indépendante.

(vi) Rôle de la fonction de la vérification interne ou d’une autre fonction d’examen indépendante

La fonction de la vérification interne ou une autre fonction d’examen indépendante doit périodiquement examiner les activités exercées par l’APC. Elle doit prendre en considération la fiabilité de la GCR, notamment les risques de non-conformité à la réglementation importants signalés par la direction et les mécanismes de contrôle correspondants, l’exactitude des rapports sur la conformité, et une évaluation de l’efficacité de la supervision de la conformité. Les méthodes de vérification interne doivent être appliquées par des vérificateurs internes animés d’un véritable esprit critique et de remise en questionNote de bas de page 16.

Les conclusions découlant des examens qui sont considérées comme importantes doivent être communiquées, suivant le cas, à la gestion opérationnelle, à l’APC et à la haute direction. La haute direction doit, au besoin, surveiller les mesures prises par la gestion opérationnelle à l’égard des constatations importantes découlant des examens.

(vii) Documentation adéquate

Le BSIF s’attend à ce que les attributions des personnes qui participent à la GCR soient clairement définies. Les deux éléments clés de contrôle, à savoir la surveillance au quotidien et la supervision indépendante, doivent produire suffisamment de documents pour démontrer la façon dont le risque de non-conformité à la réglementation est géré et pour soutenir le flux des informations communiquées à l’APC et à la haute direction. Ces documents doivent aussi faciliter l'évaluation périodique du cadre de GCR.

(viii) Rôle de la haute direction

Le BSIF s’attend à ce que la haute direction supervise le cadre de GCR. Elle doit veiller à ce que :

  • le cadre de GCR soit conçu, mis en œuvre et maintenu en place d’une manière qui répond aux besoins de chaque activité commerciale;
  • les politiques, procédures et pratiques en matière de conformité soient adéquates et appropriées pour ce qui est de contrôler le risque de non-conformité à la réglementation, et à ce qu’elles soient appliquées à la lettre par des personnes compétentes;
  • les politiques, les procédures et les pratiques en matière de conformité fassent l’objet d’un examen périodique pour s’assurer qu’elles demeurent pertinentes malgré l’évolution des circonstances et des risques de non-conformité à la réglementation;
  • tous les employés comprennent bien ce qu’ils ont à faire pour se conformer à ces politiques, procédures et processus, et à ce qu’ils rendent compte de l’accomplissement de leurs responsabilités;
  • les principaux résultats du contrôle quotidien et des fonctions de supervision indépendantes (y compris les résultats indiquant le degré de conformité aux exigences réglementaires en vigueur, les mesures correctrices prises et la gestion du risque de non-conformité à la réglementation) soient communiqués aux personnes qui doivent le savoir; des mesures soient prises en temps opportun à l’égard des constatations et des recommandations formulées par l’APC ou la fonction de la vérification interne ou une autre fonction d’examen indépendante;
  • l’APC ait suffisamment de notoriété, de pouvoirs, de ressources et de soutien pour accomplir les tâches qui lui incombent, soit suffisamment indépendant de la gestion opérationnelle et puisse exprimer des opinions et donner des conseils objectifs à la haute direction.

La haute direction doit aussi se demander, par anticipation, si les lacunes en matière de GCR qui ont été constatées dans un secteur particulier des activités de l’IFF existent dans d’autres secteurs.

Voir la ligne directrice Gouvernance d’entreprise pour obtenir des précisions sur les attentes du BSIF à l’égard du conseil d’administration d’une IFF en ce qui a trait aux politiques opérationnelles, commerciales, de gestion du risque et de gestion de crise.

V. Évaluation prudentielle de la part du BSIF

Le BSIF réalise un travail de surveillance et de supervision de la performance des IFF afin d’évaluer leur sûreté et leur solidité ainsi que leur conformité à la réglementation et la qualité de leurs processus de contrôle et de gouvernance. Cette supervision s’exerce à l’intérieur d’un cadre fondé sur des principes et elle cible les risques importants. L’étendue des mesures de surveillance dont fait l’objet l’IFF dépend de sa nature, de sa taille, de sa complexité et de son profil de risque, ainsi que des conséquences que pourrait entraîner sa faillite.

Aux fins de la surveillance des IFF, le BSIF évalue leur cadre de GCR en regard des attentes exprimées dans la présente ligne directrice. Ces évaluations peuvent aussi avoir lieu lorsque des personnes demandent au ministre d’agréer l’enregistrement d’une nouvelle IFF ou sa constitution en société.

Quel que soit l'échelon auquel se situent les attributions en matière de GCR ou la manière dont celles-ci sont construites, l’évaluation qu’en fera le BSIF portera essentiellement sur la capacité de l’IFF à gérer le risque de non-conformité à la réglementation.