Version révisée de la ligne directrice E-13, Gestion de la conformité à la réglementation (GCR) – Lettre (2014)

• Il faudrait préciser que la ligne directrice n’impose aucune nouvelle exigence juridique.

Une précision de cette nature figure dans la lettre d’accompagnement.

• Succursales étrangères – Note en bas de page 1 – Le BSIF aurait intérêt à donner des consignes sur les attentes pour les succursales étrangères étant donné que certaines succursales ne relèvent pas de l’agent principal, mais bien directement du conseil d’administration étranger et que, par conséquent, le groupe / la société mère demeure souvent responsable du mandat, des ressources et du budget de la fonction de conformité.

Cette question est hors de la portée de la ligne directrice E‑13 et n’y est donc pas abordée – Les commentaires soumis ont été traités séparément.

I. Définitions (i) Gestion de la conformité à la réglementation (GCR) – P. 3

• Dans le deuxième énoncé, ajouter le mot cadre après GCR de façon à lire « Pour être efficace, le cadre de GCR doit prévoir…. ».

Le mot a été ajouté.

Définitions (ii) Risque de conformité à la réglementation – P. 3

• Dans la définition de « risque de conformité à la réglementation », les expressions « pratiques prescrites » et « normes d’éthique » sont très vagues et gagneraient à être clarifiées.
• L’expression « normes d’éthique » devrait être supprimée de la définition des « directives prévues par règlement » et les expressions « pratiques prescrites » et « normes d’éthique » devraient être intégrées à la définition dans la note en bas de page 3.
• En ce qui a trait aux « directives prévues par règlement », le mot « attentes » est subjectif et évolutif et il faudrait le retirer de la définition.

La définition du risque de conformité à la réglementation a été révisée pour préciser qu’aux fins de la ligne directrice E‑13, cela ne comprend pas le risque découlant du non‑respect des normes d’éthique.

La définition de « directives prévues par règlement » a été supprimée.

Définitions (iii) Cadre de GCR – P. 3

Aucun commentaire n’a été soumis.

La définition du cadre de GCR a été transférée dans la section des définitions ((iii)), question d’uniformité.

III. Aperçu du cadre de GCR – P. 3

• Ajouter les mots « soit fondé sur les risques et » à la première phrase du deuxième paragraphe pour se lire ainsi : « Le BSIF s’attend à ce que le cadre de GCR soit fondé sur les risques et permette à l’IFF … »

Pour insister sur l’approche fondée sur les risques, la phrase a été modifiée ainsi : « Le cadre de GCR devrait permette à l’IFF d’appliquer une approche fondée sur les risques pour identifier, évaluer, communiquer, gérer et atténuer le risque de conformité à la réglementation. » 

• Supprimer le mot « all » au troisième paragraphe, premier point centré et ajouter l’expression « en appliquant une approche fondée sur les risques » à la fin de celui‑ci. 

Le mot « all » a été supprimé. Voir aussi la réponse précédente.

• Si les pratiques de GCR ne sont pas pleinement documentées, on suggère au BSIF de prendre en considération un solide environnement de contrôle général et une rigoureuse culture de conformité.

Le commentaire a été pris en compte dans l’approche fondée sur les risques sur laquelle on insiste dans l’ensemble de la ligne directrice – voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus.

• La portée de la ligne directrice doit se limiter aux risques qui sont importants pour les IFF.
• Ajouter le qualificatif « important » ou « significatif » aux endroits où il le faut dans la ligne directrice afin de clarifier la portée de celle‑ci.
• Le mot « important » n’est pas défini pour le moment. Le définir ainsi « ayant un effet négatif appréciable sur la réputation et / ou la sûreté et solidité de l’IFF ».

L’approche fondée sur les risques, qui comprend l’évaluation du risque et l’identification du risque important, a été mise en lumière tout au long de la ligne directrice – voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus.

Le mot « important » sera défini par chaque IFF en consultation avec le conseil d’administration – voir la note en bas de page 16.

• En ce qui a trait au mot « périodiquement » au 5e paragraphe, le cadre de GCR ne devrait pas changer tant que cela pendant l’année; ainsi, un examen annuel devrait suffire pour vérifier si des révisions s’imposent.

L’expression « à tout le moins une fois l’an » a été ajouté après « périodiquement » pour plus de latitude. Le BSIF s’attend à ce que le cadre de GCR permette de déterminer si les nouveaux produits et secteurs d’activité et d’autres changements dans les plans d’affaires posent un risque de réglementation important; nous ne sommes donc pas nécessairement d’accord avec l’idée que le cadre de GCR pourrait ne pas évoluer tant que cela pendant l’année.

IV. Cadre de GCR – P. 4

L’ordre de cette section a été remanié de façon à inclure tous les mécanismes clés de contrôle, dont les fonctions de supervision, comme éléments de base du cadre de GCR et à donner plus d’envergure au rôle de l’APC en le plaçant au début.

(i) Rôle de l’APC – p. 5

• Au quatrième paragraphe, la norme articulée n’est pas réalisable et est en conflit avec le concept de l’approche fondée sur les risques – il est suggéré de reformuler comme suit. « L’APC doit évaluer l’adéquation et l’efficacité du cadre de GCR de l’IFF et indiquer au conseil ou à un de ses comités si, à son avis et d’après la surveillance et la vérification exécutées par les fonctions de supervision de la conformité ou d’autres fonctions de supervision, l’IFF se conforme à toutes les exigences réglementaires pertinentes à tous les égards importants. »
• Le quatrième paragraphe donne l’impression que l’APC doit gérer activement au quotidien plutôt que de surveiller et superviser, ce qui entre en conflit avec l’exigence pour l’APC de demeurer indépendant de la GCR au quotidien.
• Il faudrait clarifier l’expression « à des fins fonctionnelles » pour préciser s’il s’agit de sous l’angle administratif ou de déclaration directe de l’information et de discussion.

Le paragraphe a été déplacé au début de la section et reformulé comme suit. « L’APC doit veiller à ce que les mécanismes de contrôle quotidiens de l’IFF soient suffisants, respectés et efficaces et donner au conseil d’administration son opinion à savoir si, d’après la surveillance et la vérification indépendantes exécutées, les mécanismes de contrôle de la GCR sont suffisamment robustes pour assurer la conformité aux exigences réglementaires pertinentes à l’échelle de l’entreprise. » Le BSIF estime que la conformité « à tous les égards importants » pourrait ne pas adéquatement témoigner du sens que le BSIF donne à « conformité » dans une situation en particulier.

Ce paragraphe a été remanié et clarifié en conséquence. Voir à la page 3 (Aperçu du cadre de GCR) et à la page 5 (Rôle de l’APC). Vois aussi les notes en bas de page 6 et 11.

L’expression se trouve dans la ligne directrice Gouvernance d’entreprise, encadré à la page 7.

• Ajouter « en appliquant une approche fondée sur les risques » à la fin du quatrième paragraphe.

L’approche fondée sur les risques a été clarifiée par diverses modifications apportées aux pages 3 et 5. Voir aussi les encadrés aux pages 1 et 4.

(ii) Procédures pour identifier, évaluer, communiquer, gérer et atténuer le risque de conformité à la réglementation et pour assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur – P. 5

Aucun commentaire n’a été soumis.

Le mot « raisonnables » a été ajouté à « procédures » et le sens a été clarifié dans la note en bas de page 9.

(iii) Procédures relatives à la conformité au quotidien – P. 6

• Les IFF doivent avoir la latitude de déterminer non seulement quand et combien de fois elles évaluent leurs mécanismes de contrôle, mais également la méthode de vérification et / ou de surveillance qui est appliquée et où elle est appliquée et les procédures de vérification de la conformité des lignes de défense qui doivent être positionnées (autrement, des changements structurels devront être apportés, d’où des coûts supplémentaires).
• Le concept de l’approche fondée sur les risques à l’égard de la surveillance et de la vérification doit être explicite dans l’optique de la première ligne de défense (LD) comme elle l’est dans la deuxième LD dans (iii).

On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus.

La phrase « s’appuyant sur une approche fondée sur les risques » a été ajoutée.

• Remplacer le mot « vérification » par « assurance ». OU ajouter l’expression « un autre mécanisme de contrôle adéquat » après « vérification » comme suit « Les procédures doivent faire l’objet d’une surveillance, d’une vérification ou d’un autre contrôle approprié … » (Le mot « vérification » est souvent associé à audit, laisse entendre une certaine formalité et génère certaines attentes, p. ex., échantillonnage et vérification des prémisses. Une approche fondée sur des principes est privilégiée, car elle permet d’appliquer diverses méthodes pour déterminer l’efficacité des mécanismes de contrôle aux deux premiers niveaux).

Nous avons conservé le libellé initial (surveillance et vérification), mais nous avons ajouté la note en bas de page 13 pour préciser que la vérification indépendante dans la deuxième LD n’a pas pour objet de reproduire les travaux de la Vérification interne ou de remplacer une norme de cette fonction. Nous avons décidé de ne pas ajouter l’expression « ou un autre mécanisme de contrôle approprié », car elle est vague dans une certaine mesure et pourrait porter à confusion.

• Parler du modèle des trois lignes de défense spécifiquement comme du « modèle des trois lignes de défense » dans toute la ligne directrice afin de clarifier les choses davantage et de permettre une concordance claire avec le cadre de GCR fréquemment utilisé par les IFF.
• Voir à ce que le BSIF n’ait pas demandé des contrôles en double.
• La première LD devrait pouvoir mettre en place des mécanismes de contrôle de la conformité selon les circonstances plutôt qu’une nouvelle exigence de vérification.

Un renvoi aux trois lignes de défense a été ajouté aux notes en bas de page 10, 12 et 14.

La note en bas de page 13 a été ajoutée pour préciser que la vérification indépendante dans la deuxième LD ne vise pas à reproduire les travaux de la Vérification interne ou à remplacer une norme de la Vérification interne.

Du texte a été ajouté pour clarifier le fait que les procédures relatives à la conformité au quotidien comportent une surveillance et une vérification s’appuyant sur une approche fondée sur les risques. En outre, on a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus.

(iv) Procédures indépendantes de surveillance et de vérification – P. 6

• Préciser le fait que la vérification à la deuxième LD est fondée sur les risques et nécessaire que si la fonction de supervision de la conformité le juge nécessaire.
• Confirmer le fait que le modèle des trois LD ne vise pas à générer un double emploi, que la surveillance et la vérification sont synonymes et que le BSIF ne s’attend pas à ce que l’APC effectue une vérification fondée sur un échantillon.
• Clarifier le fait que conformément à la phrase, l’APC est obligé de superviser le cadre de GCR d’une entreprise à l’aide des méthodes types, le cas échéant, qui donneraient un aperçu agrégé de la gestion du risque de conformité à la réglementation, mais qu’il prend en compte la possibilité que des données et des activités provenant des unités de la deuxième LD ne soient pas générées ou exécutées sous l’autorité de l’APC.
• Élargir la portée des pratiques de GCR courantes des IFF pour y inclure des activités officielles de vérification sera onéreux et difficile à réaliser dans le délai de six mois envisagé.
• Au troisième paragraphe, préciser le fait que l’expression « sur une base de rotation ou une autre base régulière » ne veut pas dire un rapport distinct de la VI sur le cadre de GCR et / ou les autres activités quotidiennes en rapport avec la conformité, mais qu’elle veut dire que d’après l’évaluation annuelle des risques de la VI approuvée par le conseil avec un plan annuel et des mises à jour trimestrielles, que les rapports en résultant permettront de satisfaire à cette exigence.

On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus.

La question de la possibilité de double emploi a été abordée dans la note en bas de page 13.

L’expression « surveillées et vérifiées » a été remplacée par « supervision de l’APC, au moyen d’une approche fondée sur les risques ». La phrase suivante a été révisée pour en tenir compte et clarifier comme suit : « S’il y a lieu, les méthodes de surveillance et de vérification indépendantes, peu importe où elles sont appliquées au sein de l’IFF, doivent être assez uniformes à l’échelle de l’entreprise pour permettre l’agrégation des données et l’identification de tendances ou de thèmes émergents dans les mécanismes de contrôle de la conformité, qui semblent indiquer des lacunes. »

D’accord. Ce n’est pas l’intention du BSIF. Voir la note en bas de page 13.

D’accord. Ce n’est pas l’intention du BSIF. L’expression « sur une base de rotation ou une autre base régulière » est utilisée dans une phrase qui décrit les travaux de validation dans la section intitulée « (iv) Procédures indépendantes de surveillance et de vérification. » La question des rapports est abordée dans une section distincte intitulée « Rapports internes ».

• Il faut plus de consignes quant à l’expression « s’il y a lieu » dans le contexte de la première phrase du deuxième paragraphe. Autrement, supprimer l’exigence.
• Il faut donner plus de consignes sur la façon d’interpréter les exigences aux fins de la surveillance et de la vérification indépendantes selon la taille et la nature des opérations d’une IFF – est‑ce acceptable que la surveillance et la vérification soient effectuées en partie par les mêmes personnes qui mettent en place et exécutent la GCR?

Les précisions concernant l’approche fondée sur les risques figurant dans toute la ligne directrice ont pour objet de donner plus de consignes.

• La surveillance et la vérification doivent être reliées au risque important.
• Supprimer la première phrase du deuxième paragraphe « S’il y a lieu, … ». Les IFF devraient être responsables d’intégrer à leur cadre une méthode de surveillance permettant de garantir une supervision adéquate et suffisante pour gérer les risques de réglementation, approuvée par la haute direction et examinée par le conseil / un de ses comités.

• Confirmer le fait que l’IFF peut déterminer en quoi consiste « d’une manière appropriée ».

On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4 et le commentaire ci‑dessus. Chaque IFF en consultation avec le conseil définira ce qu’elle entend par « important » – voir la note en bas de page 16.

L’expression « d’une manière appropriée à la situation de chaque IFF » a été ajoutée après « S’il y a lieu ».

• Préciser l’expression « ongoing basis », car elle est vague.
• Aux premier et troisième paragraphes, utiliser le même libellé, c.‑à‑d., efficacité, mise en application et fiabilité, et donner des consignes sur la façon de déterminer l’efficacité.

La définition d’« en permanence » dans le dictionnaire comprend « continu ». On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice. Préciser davantage a donc été jugé trop normatif.

À des fins de cohérence, le libellé a été modifié partout où il en est question comme suit : adéquation, efficacité et mise en application. On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice. Préciser davantage le sens d’efficacité a donc été jugé trop normatif.

(v) Rapports internes – P. 7

(a) Procédures en matière de rapports – P. 7

• L’expression « RCM responsabilités » est très vague et le concept devrait se limiter aux rapports à l’intention d’un certain niveau de la direction afin d’en contenir la portée.

L’expression « ainsi que déterminées par les dirigeants de l’IFF » a été ajoutée à la phrase.

(b) Rapports sur la conformité adressés à la haute direction et au conseil d’administration ou à l’un de ses comités – P. 7

• En ce qui a trait à l’avis de l’APC, il faudrait indiquer, dans la ligne directrice, que l’avis peut aussi s’appuyer sur « d’autres fonctions de supervision » comme au premier paragraphe sous (iii).
• Quant à l’information pertinente « vérifiée ou raisonnablement vérifiable », est‑ce que l’attestation du chef d’une unité opérationnelle s’appuyant sur la diligence raisonnable est de l’information vérifiée ou raisonnablement vérifiable?

Une phrase a été ajoutée. « Cet avis doit se fonder sur de l’information pertinente, vérifiée ou raisonnablement vérifiable, qui existe en quantité suffisante. » La note en bas de page 6 porte aussi sur ce commentaire.

C’est une possibilité, mais le BSIF ne prescrit aucune approche à l’égard de la vérification en particulier.

• L’avis de l’APC devait correspondre à une assurance négative, puisqu’il serait impossible d’obtenir la certitude absolue à propos de toutes les exigences réglementaires. L’avis doit être affirmé à un certain moment et porte sur une période précise des mécanismes de contrôle pour garantir que l’énoncé ne va pas au‑delà de la portée escomptée.
• L’avis de l’APC doit porter principalement sur les exigences réglementaires importantes et les mécanismes de contrôle de la GCR associés (comme indiqué à la, page 8, « l’identification par la direction des risques importants de conformité à la réglementation) ».

Le libellé a été modifié pour décrire l’objet de l’avis de l’APC et ce qu’on devrait y retrouver.

On a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4 et les commentaires ci‑dessus.

(c) Rapports de la fonction d’audit interne ou d’une autre fonction d’examen indépendante adressés à la haute direction et au conseil d’administration ou à l’un de ses comités – P.9

• En ce qui concerne l’expression « les recommandations visant à corriger les lacunes », conformément à la méthodologie d’audit, les rapports ne doivent pas inclure des recommandations, mais plutôt étayer la réponse de la direction à la constatation. Il faudrait donc supprimer cette exigence de la ligne directrice.

Le renvoi à « recommandations » a été supprimé.

(vi). Rôle de la fonction d’audit interne ou d’une autre fonction d’examen indépendante – P. 9

• La ligne directrice porte sur le rôle et les devoirs de la fonction de la VI ou d’une autre fonction d’examen indépendante. La façon dont cette fonction doit s’acquitter de son mandat est trop normative.

Le texte suivant a été ajouté. « Elle doit prendre en considération la fiabilité de la GCR, notamment les risques de conformité à la réglementation importants signalés par la direction et les mécanismes de contrôle correspondants … ».

• Il faudrait préciser l’expression « autre fonction d’examen indépendante ».
• Il faudrait préciser que l’examen indépendant vise à déterminer si le processus de GCR est respecté tel que documenté ou décrit plutôt que si l’IFF se conforme aux exigences de chaque loi ou règlement.
• L’ « évaluation de la mesure de l’efficacité avec laquelle la fonction de supervision de la conformité s’acquitte de ses responsabilités » relève davantage des ressources humaines et dépasse donc l’intention du BSIF. Le renvoi a été supprimé.
• En ce qui a trait à la fréquence des examens par la VI du cadre de GCR d’une IFF, y a‑t‑il lieu qu’elle se fonde sur le risque associé à ce domaine de l’univers des risques de l’entreprise?

Cette fonction est décrite dans la ligne directrice Gouvernance d’entreprise.

Le texte suivant a été ajouté. « Elle doit prendre en considération la fiabilité de la GCR, notamment les risques de conformité à la réglementation importants signalés par la direction et les mécanismes de contrôle correspondants … ».

Le libellé a été modifié et se lit maintenant ainsi : « une évaluation de l’efficacité de la supervision de la conformité ».

Le libellé a été modifié pour préciser « La fonction de la Vérification interne ou une autre fonction d’examen indépendante doit périodiquement examiner… ». En outre, on a mis l’accent sur l’approche fondée sur les risques dans l’ensemble de la ligne directrice – Voir les encadrés aux pages 1 et 4.

(viii). Rôle de la haute direction – P. 10

• Cette section doit être remaniée pour inclure la responsabilisation de la haute direction (HD) à l’égard des « problèmes importants ».

Ce point a été, il nous semble, abordé dans l’approche fondée sur les risques mise en lumière tout au long de la ligne directrice.

• Il y aurait lieu de faire une distinction entre le rôle de la HD et celui de la Gestion opérationnelle, p. ex., le rôle de la HD semble chevaucher celui de la Gestion opérationnelle déjà mentionné dans la ligne directrice, c.‑à‑d., « La haute direction doit veiller à ce que les principaux résultats du contrôle quotidien … ».

Ce point a été, il nous semble, abordé dans les notes en bas de page 4 et 18.

• Quand il est question de haute direction, ce n’est pas clair si l’APC est inclus.

Il faudrait faire envoi à la définition de haute direction dans la ligne directrice Gouvernance d’entreprise.

(ix) Rôle du conseil d’administration - P. 11

• Le BSIF devrait tenir compte du fait que certains grands groupes financiers comportent plusieurs institutions financières à l’égard desquelles les fonctions de contrôle peuvent être organisées centralement et indépendamment du secteur d’activité et qu’il serait impossible pour le conseil d’administration de chaque institution financière membre du groupe financier d’approuver le mandat, les ressources et le budget.
• L’obligation pour le conseil d’approuver les ressources et les budgets de l’APC et d’en examiner le rendement dépasse la supervision et exige du conseil qu’il gère directement la fonction de Conformité – cette approche diminue la responsabilité de la direction. C’est la haute direction avec supervision d’un comité du conseil qui devrait s’occuper de ces approbations.

Le renvoi à la responsabilité du conseil d’approuver le mandat, les ressources et le budget de l’APC a été supprimé puisqu’il y est fait renvoi dans la ligne directrice Gouvernance d’entreprise.

• À l’instar de la ligne directrice Gouvernance d’entreprise, la ligne directrice E‑13 semble obliger le conseil d’administration à gérer activement le cadre de GCR plutôt que d’exercer une supervision.

Le libellé de la ligne directrice E‑13 est cohérent avec celui de la ligne directrice Gouvernance d’entreprise.

V. Évaluation prudentielle de la part du BSIF – P. 11

• Pour préciser, il faudrait que la phrase se lise ainsi : « La surveillance s’exerce à l’intérieur d’un cadre fondé sur des principes et elle cible les risques importants, dans le but premier de protéger les déposants et les souscripteurs contre les pertes. »

La phrase a été raccourcie comme suit. « La surveillance s’exerce à l’intérieur d’un cadre fondé sur des principes et elle cible les risques importants ».