Gestion du risque opérationnel et résilience opérationnelle — Lettre

Informations
Type de publication
Lettre
Catégorie
Saines pratiques commerciales et financières
Date
Secteur
Banques,
Associations coopératives de crédit,
Succursales de banques étrangères,
Sociétés d'assurance vie et de secours mutuels,
Sociétés des assurances multirisques,
Sociétés de fiducie et de prêts
Table des matières

Le Bureau du surintendant des institutions financières (BSIF) a publié aujourd’hui la version finale de la ligne directrice E-21, Gestion du risque opérationnel et résilience opérationnelle. Cette publication est le résultat de vastes consultations sur la gestion du risque opérationnel et la résilience opérationnelle qui avaient débuté en juillet 2021.

Cette version finale est rédigée dans un langage simplifié, le but étant de la rendre plus claire et épurée. Pour l’essentiel, les attentes énoncées sont les mêmes que celles qui figuraient dans la version à l’étude publiée à des fins de consultation, exception faite de certains changements apportés à la lumière des commentaires reçus (voir ci-dessous).

Quelle est la raison d’être de cette ligne directrice?

  • Elle renforce les attentes entourant la gestion du risque opérationnel.
  • Elle énonce de nouvelles attentes axées sur la résilience opérationnelle, qui constitue une composante cruciale de notre cadre de surveillance.
  • Elle énonce également de nouvelles attentes à l’égard de la gestion du risque lié à la continuité des affaires, de la gestion de crise, de la gestion du changement et de la gestion du risque lié aux données, ce qui servira à renforcer la résilience opérationnelle.

Les institutions financières sont au fait de nos attentes en matière de gestion du risque opérationnel, lesquelles sont en vigueur depuis 2016, ainsi les section 1 et 2 prennent effet immédiatement. D’autres attentes qui sont nouvelles ont trait à des concepts que bon nombre d’institutions financières savent habituellement déjà gérer.

Que devez-vous faire?

  • D’ici le 1er septembre 2025

    • Plein respect de la section 4. Même si les attentes énoncées dans cette section sont nouvelles, elles ont trait à des catégories de risque qui sont déjà visées par la ligne directrice de 2016 sur la gestion du risque opérationnel. Les institutions doivent donc avoir comblé toutes les lacunes pouvant encore exister d’ici cette date.

  • D’ici le 1er septembre 2026

    • Plein respect de la ligne directrice. Même si le BSIF est conscient que les programmes de résilience opérationnelle vont gagner en maturité au fil du temps, les institutions doivent avoir cerné et cartographié leurs activités essentielles et leur avoir fixé des seuils de tolérance aux perturbations. De plus, elles doivent aussi avoir défini la méthodologie de test de scénarios et amorcé les tests, de manière à ce que toutes leurs activités essentielles aient été testées d’ici le 1er septembre 2027.

Durant la période de transition, nous prévoyons mener des travaux de surveillance sur une base sélective afin d’évaluer les progrès réalisés par les institutions dans le déploiement de leurs programmes de résilience opérationnelle. De plus, nous continuerons d’évaluer si les institutions ont recours à des pratiques de gestion du risque opérationnel efficaces.

Réponse du BSIF aux commentaires au sujet de la version à l’étude de la ligne directrice E-21, Résilience opérationnelle et gestion du risque opérationnel

Structure de la ligne directrice et terminologie

Commentaire : Il faut restructurer la ligne directrice et mentionner la gestion du risque opérationnel avant la résilience opérationnelle afin d’en faciliter la compréhension.

Réponse : La ligne directrice a été restructurée en ce sens, et un langage plus simple a été utilisé afin qu’elle soit plus claire et plus facile à comprendre.

Commentaire : Il faudrait préciser le sens à donner aux expressions « secteurs d’activité et fonctions centrales » et « fonctions de gestion du risque et de conformité ».

Réponse : Le sens de ces expressions est précisé, et des explications sont fournies dans notre Cadre de surveillance :

  • Les secteurs d’activité et les fonctions centrales sont les responsables des risques et gèrent ces derniers.
  • Les fonctions de gestion du risque et de conformité exercent une surveillance et remplissent une fonction de remise en question des décisions et des pratiques relatives aux risques.

Test et analyse de scénarios

Commentaire : Il faudrait bien préciser que la liste d’outils de gestion du risque opérationnel n’est pas exhaustive, et notamment que l’analyse de scénarios demeure une pratique pertinente dans le contexte de la gestion du risque opérationnel.

Réponse : Nous avons apporté les précisions suivantes :

  • La liste d’outils de gestion du risque opérationnel n’est pas exhaustive.
  • L’analyse de scénarios demeure une pratique utile, qui vise d’abord à déterminer et à évaluer les répercussions du risque opérationnel, les contrôles et les mesures d’atténuation au niveau à la fois des secteurs d’activité et de l’institution dans son ensemble.
  • Le test de scénarios va plus loin, car il permet d’évaluer si les activités essentielles respectent leurs seuils de tolérance aux perturbations lorsqu’elles sont effectuées de bout en bout, au niveau de multiples secteurs d’activité, dans des circonstances graves, mais vraisemblables.

Commentaire : Au lieu de prévoir une fréquence annuelle, il faudrait effectuer les tests de scénarios en fonction du risque.

Réponse : Il est maintenant précisé dans la ligne directrice que les tests de scénarios doivent être effectués en fonction du risque et du degré de criticité, mais également que, lorsque l’environnement de risque connaît des changements importants, des tests devraient être menés en dehors du cycle régulier.

Commentaire : La participation des tiers aux tests de scénarios n’est pas toujours possible.

Réponse : Il est maintenant indiqué que les tiers essentiels devraient prendre part aux tests de scénarios dans la mesure du possible.

Gestion du changement

Commentaire : Il faut disposer d’une certaine marge de manœuvre pour que les activités de gestion du changement soient proportionnelles au type de changement apporté.

Réponse : Les activités de gestion du changement doivent s’appliquer en cas de changements importants.

Commentaire : Il faudrait que la section sur la gestion du changement s’applique au risque opérationnel qui est engendré par le changement, et non aux pratiques de gestion du changement proprement dites.

Réponse : Nous sommes en désaccord avec ce commentaire. Si le processus de mise en œuvre du changement est mal exécuté, cela peut causer des perturbations. Nous avons précisé que les processus doivent servir à régir à la fois les risques découlant du changement et les pratiques de gestion du changement.

Mise en œuvre par étapes

Commentaire : La ligne directrice devrait faire l’objet d’une mise en œuvre graduelle.

Réponse : Les attentes énoncées dans la ligne directrice s’appliqueront graduellement, de la manière indiquée précédemment dans la présente lettre.