Document d’information : Ligne directrice E-21 sur la gestion du risque opérationnel et la résilience opérationnelle

Vue d'ensemble

La ligne directrice E‑21 définit nos attentes visant à aider les institutions financières à se préparer à des perturbations graves et à s'en remettre. Elle rehausse les attentes du BSIF en matière de gestion du risque opérationnel et établit de nouvelles attentes en matière de résilience opérationnelle, de gestion du risque lié à la continuité des activités, de gestion de crise, de gestion du changement et de gestion du risque lié aux données.

Pourquoi est-ce important?

S'ils ne sont pas atténués, les risques opérationnels peuvent mener à des risques financiers. La détection, l'évaluation, la gestion et le suivi des risques opérationnels contribuent donc à la sûreté et à la solidité des institutions financières. La gestion efficace du risque opérationnel sous-tend aussi l'intégrité et la sécurité des institutions grâce à la prévention des défaillances des mesures de contrôle qui pourraient être exploitées par des acteurs malveillants et entraîner de la fraude, des enjeux juridiques et des répercussions sur la réputation.

Les institutions financières d'aujourd'hui évoluent dans un environnement de risque complexe caractérisé par des risques qui menacent de plus en plus leurs activités, notamment :

• les défaillances des mesures de contrôle internes;
• les perturbations touchant des activités de tiers;
• les défaillances de l'infrastructure;
• les défaillances technologiques;
• les cyberincidents et les incidents géopolitiques;
• les pandémies;
• les catastrophes naturelles.

La bonne gestion du risque opérationnel et la résilience robuste améliorent la capacité des institutions à prévenir, à détecter et à gérer les événements défavorables, et à s'en remettre, tout en continuant à exercer leurs activités essentielles.

Liens avec les autres lignes directrices

La ligne directrice E-21 est une ligne directrice fondamentale qui sous-tend la gestion du risque dans d'autres volets contribuant à la résilience opérationnelle, comme dans la ligne directrice B‑13 sur la gestion du risque lié aux technologies et du cyberrisque et la ligne directrice B‑10 sur la gestion du risque lié aux tiers.

Ces volets de risque sont interreliés, c'est pourquoi les institutions financières devraient bien prendre en considération ces liens. Par exemple, les institutions financières devraient mettre en œuvre des mesures d'atténuation des cybermenaces et s'assurer que les tiers fournisseurs de services ont adopté des mesures robustes pour se protéger contre les menaces. Grâce à la gestion efficace de ces volets de risques, les institutions seront prêtes à faire face aux perturbations en tout genre, à s'en remettre et à en tirer des leçons.

Histoire de la ligne directrice E‑21

La ligne directrice est d'abord entrée en vigueur en 2016 et établissait nos attentes en matière de gestion du risque opérationnel visant les institutions financières.

En 2021, nous avons demandé aux institutions financières de se prononcer sur la résilience opérationnelle. Nous avons révisé la ligne directrice E‑21 à la lumière des commentaires pour accorder plus d'importance à la résilience opérationnelle tout en maintenant nos attentes en matière de gestion du risque opérationnel.

En 2022, nous avons publié les principales définitions liées à la résilience opérationnelle dans une lettre d'information. En octobre 2023, nous avons publié la version à l'étude révisée de la ligne directrice E‑21 dans le cadre d'une consultation publique d'une durée de 3 mois.

Date d'entrée en vigueur

Nous avons publié la version finale de la ligne directrice E-21 le 22 août 2024. Nous nous attendons à ce que les institutions financières adhèrent immédiatement aux attentes en matière de gestion du risque opérationnel dans les sections 1 et 2. Les autres attentes de la ligne directrice font l’objet d’une mise en œuvre progressive qui devrait mener à l’adhésion et à la mise en œuvre complète d’ici le 1er septembre 2026.