Favoriser une gouvernance efficace du risque : une vigilance de tous les instants

Introduction

Bonjour. Je vous remercie de m’avoir invité à vous parler aujourd’hui du rôle et de l’importance de la gouvernance efficace du risque.

Lors de ma dernière allocution dans ce forum, j’ai parlé de l’évolution récente des pratiques de surveillance prudentielles du BSIF en réponse à la transformation rapide de l’environnement de risque des institutions réglementées.

Aujourd’hui, j’aimerais me concentrer sur l’incidence des changements dans l’environnement de risque sur nos attentes à l’égard des institutions réglementées, surtout pour ce qui est du domaine crucial de la gouvernance du risque, comme c’est ultimement au conseil d’administration qu’il incombe de superviser la gestion saine et prudente d’une institution.

Et une vigilance de tous les instants s’impose. À mesure que l’environnement de risque auquel nous faisons face change et gagne en incertitude, les conseils d’administration sont réellement la dernière ligne de défense des institutions.

Au BSIF, nous nous demandons dans quelle mesure les principes entourant la gouvernance du risque mis en place depuis la crise financière mondiale (CFM) demeurent valides dans l’environnement de risque actuel, empreint d’incertitude. Pensons par exemple aux principes du Conseil de stabilité financière (CSF) et d’autres organismes de normalisation connexes, ou aux recommandations du rapport du groupe des Trente (Group of Thirty) intitulé « Towards Effective Governance of Financial Institutions ».

Moment charnière dans la gouvernance du risque, la CFM a mis en relief certains manquements dans la gestion du risque et la surveillance par les conseils d’administration. Cela s’est notamment traduit par l’établissement de normes plus élevées en matière de transparence et de reddition des comptes, la promotion d’une culture de l’éthique et de l’intégrité, et des changements dans la surveillance réglementaire.

Malgré tout, certains événements plus récents nous donnent beaucoup à réfléchir, comme l’effondrement d’Archegos Capital Management, la faillite de plusieurs institutions financières au printemps 2023, et l’évolution de la situation géopolitique et les avancées technologiques que certains auraient considérées comme impensables il y a peu de temps.

Au BSIF, nous avons toujours reconnu le rôle essentiel des conseils d’administration et l’importance de la gouvernance efficace du risque pour obtenir des résultats prudents.

Le surintendant Peter Routledge s’est également exprimé ici même en mai dernier sur le rôle déterminant des conseils d’administration à titre de gestionnaires responsables et éclairés, prêts à protéger leur institution, surtout lorsque les risques s’accentuent.

Je reprends l’analogie du soccer que j’ai utilisée dans mes interventions précédentes sur la surveillance efficace. Si l’institution financière, c’est l’équipe, et le BSIF, l’arbitre, le chef de la direction est comme un directeur général ou un entraîneur, et le conseil d’administration est assimilable au président du club.

Si vous aimez les sports, vous savez que les meilleures équipes de soccer ont non seulement des joueurs de talent et un excellent entraîneur, mais aussi un président avisé qui sait s’entourer des bonnes personnes dans les postes clés, qui supervise l’équipe de direction et qui prépare l’avenir.

Tout en gardant cette dynamique à l’esprit, j’aimerais consacrer le reste de mon temps à répondre à trois questions :

1. Quels sont les principaux changements dans l’environnement du risque depuis la crise financière mondiale?
2. Quels sont les attributs durables d’un conseil d’administration efficace du point de vue de la surveillance prudentielle?
3. Et [par conséquent], quelles devraient être les priorités des conseils d’administration?

Question 1 : Quels sont les principaux changements dans l’environnement du risque depuis la crise financière mondiale?

Commençons par la première question : Quels sont les principaux changements dans l’environnement du risque depuis la crise financière mondiale?

Malgré les événements de 2023, je pense que les institutions financières et leurs conseils d’administration exercent une surveillance beaucoup plus rigoureuse des risques financiers à l’origine de la CFM, à savoir les risques de crédit, de marché et de liquidité.

Dans ce contexte, les cadres de gestion du risque d’entreprise, qui s’appuient sur des énoncés exhaustifs de la propension à prendre des risques, sont devenus des outils incontournables. Par ailleurs, dans leurs délibérations, les conseils d’administration tiennent compte de plus en plus de l’influence de la culture sur la prise de risques.

En plus de la culture, ils intègrent aussi de plus en plus dans leurs cadres de gestion du risque les autres risques non financiers, comme le risque lié aux technologies et le cyberrisque. En suivant cette voie, nous serons plus à même de faire face à la « prochaine vague » de risques associés généralement à la résilience opérationnelle.

À l’heure actuelle, il y a d’autres forces à l’œuvre, des forces dont les effets se chevauchent.

Les risques financiers et non financiers demeurent bien présents, mais les facteurs d’incertitude sous-jacents sont plus prononcés. Je parle ici des changements climatiques et démographiques, de la numérisation, du populisme et des tensions géopolitiques, par exemple, comme l’explique Stephen Poloz, ancien gouverneur de la Banque du Canada, dans son livre « The Next Age of Uncertainty ».

Parallèlement à ces changements majeurs, la vitesse à laquelle les risques peuvent se manifester ne cesse de s’accélérer. Les institutions réglementées sont de plus en plus confrontées aux conséquences des manquements aux obligations en matière de conformité.

Nous avons donc dû réévaluer nos objectifs, y compris le mandat élargi du BSIF en matière d’intégrité et de sécurité, ainsi que nos hypothèses sur l’agilité de la gestion du risque, la vitesse et l’ampleur de la contagion entre les institutions financières, et la nature et l’étendue de la mobilisation des intervenants.

L’ensemble de ces facteurs a créé un environnement de risque très incertain qui pose des défis fondamentalement différents aux conseils d’administration dans l’exercice de leurs responsabilités.

Aux « inconnues connues », avec lesquelles nous composons depuis toujours, s’ajoutent des « inconnues inconnues », qui exigent une préparation de notre part.

J’ouvre une parenthèse pour parler des répercussions de l’accentuation de l’incertitude indépendamment de l’accroissement du risque.

Dans les réformes postérieures à la CFM, on perçoit le « risque » comme un élément mesurable et prévisible, qu’il est possible de gérer au moyen de réponses ciblées, telles que l’établissement de limites à l’égard du risque et d’obligations en matière de réserves financières.

L’« incertitude », en revanche, concerne les éléments que l’on ne peut ni maîtriser ni prévoir, mais dont les conséquences peuvent être négatives, voire catastrophiques.

Du point de vue de la gouvernance du risque, pour répondre à cette « incertitude », il faut adopter un état d’esprit différent et des approches plus adaptatives. Il faut anticiper tout un spectre de possibilités, que ce soit en termes de fonds propres, de liquidité ou d’activités, et maintenir une solide performance pendant une période prolongée de stress, lui-même imprévisible.

Plutôt que viser simplement l’atteinte des objectifs réglementaires, les institutions financières doivent constamment mettre à l’épreuve leur résilience et l’améliorer en recourant à l’analyse de scénarios et aux simulations, en établissant une feuille de route en cas d’urgence et en prenant part à des exercices sur table.

Cela met en évidence un principe clé de notre nouveau cadre de surveillance, c’est-à-dire le fait de prioriser la résilience plutôt que la « solidité » financière ou opérationnelle.

Nous avons eu la preuve de la validité de ce principe au cours des deux dernières années, quand des établissements ayant une solide position de fonds propres n’ont pas été en mesure de résister aux pressions financières qui pesaient sur elles.

En raison du caractère incertain de l’avenir, et à la lumière de l’évolution de notre expérience et des responsabilités du conseil d’administration, nous devons sans cesse actualiser et remettre en question les attentes à l’égard du conseil en matière d’efficacité et de surveillance, et ce, pour que les institutions puissent conserver leur résilience dans une conjoncture beaucoup moins prévisible.

Question 2 : Quels sont les attributs durables d’un conseil d’administration efficace du point de vue de la surveillance prudentielle?

En raison de l’évolution constante et de la complexité croissante de la gestion du risque, on peut aisément oublier les principes fondamentaux d’une saine gouvernance du risque.

Cela m’amène à ma deuxième question : quels sont les attributs durables d’un conseil d’administration efficace du point de vue de la surveillance prudentielle qui lui permettront de se préparer aux incertitudes qui poindront à l’horizon?

En qualité de surveillants, nous avons la possibilité d’observer les conseils d’administration des institutions que nous réglementons, ce qui représente un avantage.

J’aimerais donc vous présenter dix tendances et comportements gagnants que nous observons chez les conseils d’administration efficaces.

• Premièrement, ils savent distinguer ce qui relève de leur responsabilité (la stratégie, la gestion du risque et la planification de la relève) et de ce qui n’en relève pas (les activités quotidiennes). Tel le président d’une équipe de soccer qui se mêle de tout, certains administrateurs flirtent avec cette limite, voire outrepassent parfois leur champ de compétence.
• Deuxièmement, ils posent les bonnes questions, que ce soit sur la stratégie, les risques émergents ou les questions de réputation. Plus important encore, à l’instar du président d’une équipe de soccer, si la stratégie ou les tactiques de la direction ne sont pas adéquates, ils lui rappellent clairement ses obligations.
• Troisièmement, ils ne relâchent jamais leur vigilance pour mettre en évidence les domaines de faiblesse, même si la performance financière de l’organisation est solide. C’est particulièrement vrai au Canada, où les institutions financières font rarement faillite et où les résultats passés peuvent alimenter une fausse certitude quant à l’obtention de résultats positifs dans l’avenir.
• Quatrièmement, ils ne consultent pas systématiquement des experts pour prendre leurs décisions, par exemple dans des domaines techniques pivots comme la gestion du cyberrisque et du bilan, et la conformité à la réglementation. Les conseils d’administration efficaces ne misent pas sur le talent d’un seul joueur étoile; leur expertise et leurs connaissances font qu’ils ne prennent pas l’avis des experts pour de l’argent comptant.
• Cinquièmement, ils neutralisent consciemment l’effet de halo. Les administrateurs efficaces ne laissent pas leurs impressions positives ou leurs relations avec le chef de la direction, l’équipe de direction ou leurs collègues administrateurs influencer leur point de vue sur les principes fondamentaux encadrant le contrôle du risque et l’imputabilité.
• Sixièmement, les conseils d’administration efficaces créent non seulement un espace sûr, où les administrateurs se font mutuellement confiance, mais aussi un espace où on encourage le leadership éclairé et une remise en question efficace, où on incite les administrateurs à s’exprimer, même à propos de sujets difficiles.
• Septièmement, ils favorisent une culture d’amélioration continue et l’adoption d’une mentalité agile à l’échelle de l’organisation. Ils surveillent les risques émergents de manière anticipatrice, comme le risque d’atteinte à la réputation accru découlant de l’activité sur les médias sociaux. Quant aux conseils d’administration inefficaces, ils se donnent pour objectif de répondre aux attentes minimales et gèrent les problèmes au coup par coup.
• Huitièmement, les conseils d’administration efficaces réagissent rapidement lorsque les fonctions de contrôle, les auditeurs et les organismes de réglementation soulèvent des inquiétudes. Ils privilégient les interventions constructives plutôt que défensives lorsqu’on porte des préoccupations ou des problèmes à leur attention, et apprécient le regard plus large que les intervenants externes posent sur le contrôle du risque.
• Neuvièmement, les conseils d’administration efficaces font preuve d’honnêteté et de transparence auprès des organismes de réglementation prudentielle. Leurs communications ne sont pas préfabriquées et ne nous disent pas seulement ce qu’ils pensent que nous voulons entendre. Ils font preuve d’ouverture et de scepticisme, et ne se contentent pas d’être une fonction de relations publiques pour leur équipe de direction, y compris le chef de la direction.
• Et dixièmement, ils comprennent que la rotation de leurs membres ne doit pas nécessairement coïncider avec l’expiration de leur mandat. Leurs membres procèdent régulièrement à des auto-évaluations et sont habités par un sentiment d’urgence quand vient le temps de gérer les problèmes de performance ou les lacunes dans les compétences.

Les conseils d’administration remarquables présentent une diversité de points de vue et de compétences. Ainsi, ils peuvent envisager différents scénarios et se préparer à l’imprévisible et à l’immesurable, ce qui renforce leur capacité d’adaptation dans une conjoncture incertaine et empreinte de risque.

Cette approche incite la direction à se préparer elle-même à un avenir incertain.

Question 3 : Quelles devraient être les priorités des conseils d’administration?

On impose de plus en plus d’exigences aux conseils d’administration, ce qui m’amène à la troisième question : Quelles devraient être les priorités des conseils d’administration? À mon avis, pour ne pas endormir notre vigilance, il faut avoir une vision plus large de la performance.

Si les attentes à l’égard de la gouvernance du risque et des conseils d’administration sont élevées, on ne peut s’attendre à ce que ces derniers règlent d’un coup de baguette magique tous les problèmes d’une institution.

Qu’ils se réunissent régulièrement ou lors de comités, les conseils d’administration ne disposent que d’un nombre limité de moyens pour obtenir des informations, superviser la mise en œuvre de la stratégie et gérer le risque.

Comme le président d’une équipe de soccer, les conseils d’administration doivent former la bonne équipe de direction et les structures adéquates de surveillance, y compris la planification de la relève de la haute direction.

Tout en laissant les coudées franches à la direction, les conseils d’administration efficaces imposent à l’ensemble de l’organisation, et plus particulièrement aux membres de l’équipe de la direction, l’obligation de rendre des comptes afin de favoriser la gestion du risque et la résilience de l’institution, ainsi que la prise prudente de risques.

J’aimerais donc souligner trois domaines clés prioritaires pour les conseils d’administration en cette ère d’incertitude : l’imputabilité, la culture et la proportionnalité.

Imputabilité des responsables du risque

Pour ce qui est de rendre imputables les responsables des risques, notre nouveau Cadre de surveillance peut aider à préparer le terrain concernant les domaines que nous estimons essentiels pour soutenir une saine gouvernance du risque. Il s’agit notamment des attentes à l’égard des secteurs d’activité et des fonctions centrales, des fonctions de supervision du risque et de la conformité et de l’audit interne.

Je vais aujourd’hui me concentrer sur les secteurs d’activité et les fonctions centrales (ou « fonctions de première ligne »).

Dans ce domaine, le leadership et la supervision sont cruciaux pour établir des obligations claires en matière de reddition des comptes afin de soutenir une prise prudente de risques.

Les dirigeants doivent veiller à ce que le personnel de première ligne comprenne bien la propension à prendre des risques de l’institution et les limites qui en découlent – qu’il s’agissent des risques financiers qui influencent directement les résultats financiers (comme la souscription de prêts ou de polices d’assurance) ou des risques non financiers (comme la sécurité de l’information et les obligations de conformité, par exemple celles se rapportant à la lutte contre le blanchiment d’argent). Parce que ces risques peuvent avoir un impact sur l’intégrité et la sécurité de l’institution.

Si la direction n’est pas imputable, il est peu probable que les employés de première ligne appliquent véritablement les principes d’une saine gestion du risque et les mécanismes de contrôle, quelle que soit la qualité de la surveillance de la gestion du risque ou de l’audit interne.

Récemment, des organismes de réglementation du monde entier ont conclu que la responsabilité de la haute direction et la responsabilité individuelle étaient des composantes cruciales d’une gestion efficace du risque.

Trop souvent – surtout dans les grandes institutions –, on voit la responsabilité de manière diffuse ou collective, et personne ne semble imputable des résultats en matière de gestion du risque. Cela concerne particulièrement les risques non financiers, notamment les obligations en matière de conformité.

Il est impératif que les institutions financières attaquent ce problème de front.

Les dirigeants doivent bien comprendre et assumer leurs obligations en matière de gestion du risque et de conformité. Et, lorsque des lacunes sont détectées, ils doivent prendre des mesures correctives le plus rapidement possible et en être imputables, plutôt que de compter sur le fait que les fonctions de supervision du risque ou de la conformité feront le travail à leur place.

Favoriser une saine gestion du risque lié à la culture

J’aimerais maintenant aborder la question de la culture.

L’efficacité des responsables du risque et des fonctions de supervision du risque, deux éléments qui relèvent principalement du conseil d’administration, dépend de la culture organisationnelle.

Il est facile de parler dans l’abstrait de la culture et des risques qui y sont associés. Mais, comme il y a de nombreux facteurs à l’œuvre, comment peut-on concrètement mesurer ces risques, les évaluer et les gérer?

Plus précisément, comment le conseil d’administration peut-il faire en sorte que tous les membres du personnel se sentent responsables de créer une culture saine, qui soit en phase avec la propension de l’institution à prendre des risques?

Les primes représentent un élément important de l’équation culturelle, et nous sommes convaincus que la rémunération reste un outil efficace pour encourager les bons comportements en matière de risque et décourager les mauvais.

À la suite de la CFM, la communauté internationale des organismes de réglementation a mis en place un programme ambitieux pour favoriser l’adoption de politiques encadrant la rémunération des dirigeants.

Certaines d’entre elles, comme celles touchant la rémunération différée et les dispositions de récupération, sont théoriquement valables, mais n’ont connu en pratique qu’un succès limité.

Dans certains pays, on a voulu aller plus loin, en instaurant ce qu’on appelle un régime pour les cadres supérieurs (comme l’a fait la PRA au Royaume-Uni). Ce n’est pas encore le cas ici. Au Canada, nous avons adopté, pour l’instant, une approche davantage fondée sur des principes pour réformer la rémunération, en phase avec notre approche plus large de la réglementation prudentielle et la notion de « compétence et honorabilité ».

Plus récemment, nous avons été encouragés de voir les institutions financières intégrer des mesures non financières dans les évaluations des dirigeants afin de promouvoir une culture saine, de renforcer les bons comportements et de mettre l’accent sur une gestion saine du risque.

Cependant, les changements apportés aux modalités de rémunération sont-ils suffisants pour transformer les comportements, la culture et la prise de décisions afin de favoriser une prise prudente de risques et une saine gestion du risque?

Peut-être que non.

Peut-être faut-il une responsabilité directe plus grande et des conséquences individuelles dans les structures de gouvernance actuelles.

S’adapter à la complexité

Enfin, parlons de l’adaptation des attentes en fonction de la taille et de la complexité d’une institution, autrement dit de la « proportionnalité ».

Nous savons que certaines institutions éprouvent des difficultés à répondre à l’environnement de risque et à nos attentes dans ce domaine.

Certaines d’entre elles sont si petites qu’on ne peut s’attendre à ce qu’elles répondent à toutes nos attentes. Elles visent les mêmes résultats, mais avec des ressources plus limitées.

D’autres sont si grandes que l’intégration, dans une multitude de secteurs d’activité et de zones géographiques, représente un défi de taille.

Dans ce cas, le conseil d’administration (et la haute direction) ne peut savoir ce qui se passe partout, tout le temps.

Cette situation peut entraîner des problèmes de désengagement par rapport aux risques – comme je l’ai déjà mentionné – : on prend alors des mesures à retardement, on fait fi des problèmes et les primes d’encouragement sont inefficaces.

En fin de compte, pour les conseils d’administration, cette tension entre les exigences et les capacités est un véritable défi, dont nous discutons en continu avec les institutions réglementées.

Compte tenu des contraintes auxquelles sont soumis les conseils d’administration, la nécessité d’établir des priorités et d’avoir un portrait objectif de la situation devient pour eux une source d’innovation qui les force à mettre en place les conditions de leur réussite.

Les conseils d’administration doivent définir les enjeux prioritaires pour la direction – ce sur quoi elle doit concentrer ses efforts, la latitude dont elle dispose et les évaluations auxquelles elle consent à se soumettre.

Ils ont le devoir et le privilège de fixer les grandes priorités de leur institution. Un exercice qui, dans le contexte actuel, s’avère d’une importance cruciale.

Nous espérons que notre nouveau Cadre de surveillance pourra les aider dans cette tâche.

En clarifiant les risques et les résultats attendus, nous pouvons favoriser une imputabilité accrue quant aux résultats de la gestion du risque et à la résilience. En ayant une idée plus claire des résultats escomptés, les conseils d’administration seront, nous l’espérons, plus à même de poser les questions qui s’imposent à la haute direction de leur institution pour les obliger à rendre des comptes, de mettre en lumière les domaines de faiblesse dans un environnement où les choses évoluent constamment, et de prendre rapidement des mesures lorsque des lacunes sont relevées.

Le coup de sifflet final : Ne jamais relâcher la vigilance

La gouvernance efficace du risque appelle une vigilance de tous les instants.

Quand on prend du recul par rapport à la surveillance prudentielle au quotidien, la question de l’aléa moral – qui se profile toujours en filigrane dans notre système financier – refait inévitablement surface.

En ce qui concerne la propension à prendre des risques, les conseils d’administration doivent établir des balises qui permettent à l’institution de maximiser sa rentabilité tout en se protégeant au moyen de ce qu’on appelle la responsabilité limitée.

Ils n’ont ni les incitatifs ni les informations nécessaires pour évaluer et gérer adéquatement les répercussions potentielles de la faillite d’une institution. Il appartient donc aux organismes de réglementation, comme nous, de le faire.

Dans le cadre de nos fonctions, nous évaluons les externalités négatives potentielles associées aux activités des institutions financières et intervenons si nécessaire, tout en permettant aux institutions de rester concurrentielles et de prendre des risques raisonnables.

Toutefois, de nouvelles formes d’externalités ont fait leur apparition dans le secteur privé, c’est-à-dire les facteurs ESG, axés sur la durabilité à long terme. Dans la conjoncture incertaine qui est la nôtre, ces facteurs imposent un recadrage des objectifs qui renvoie à l’imputabilité des conseils d’administration si les choses tournent mal.

Cette nouvelle réalité nous oblige à reconnaître que le succès se mesure désormais par la résilience dont on fait preuve pendant une longue saison épuisante, et non par le fait de remporter une partie après une séance de tirs au but.

La mentalité traditionnelle, selon laquelle il faut prioriser la création de valeur pour les actionnaires, ne suffit plus, sans compter qu’elle est de plus en plus soumise à la discipline du marché.

Les conseils d’administration et les équipes de haute direction doivent être outillés pour composer avec cette nouvelle réalité. Ils doivent donc s’y adapter en faisant évoluer leurs pratiques, y compris celles concernant le contrôle du risque et la gestion de la conformité, sans perdre de vue le respect des principes fondamentaux de la surveillance prudentielle.

Cette évolution nécessitera de revoir de fond en comble les structures incitatives et les mesures de reddition de comptes en les inscrivant dans une définition plus globale de ce qu’est une bonne performance.

Il faut aussi sans cesse réévaluer les avantages des « régimes pour les cadres supérieurs ».

En fin de compte, partant d’une conception relativement statique de la solidité, nous devons maintenant privilégier la capacité d’adaptation et la résilience face à une incertitude permanente.

C’est ainsi que les institutions réglementées contribueront à un système financier qui sert véritablement les intérêts à long terme des déposants, des titulaires de police, de l’économie dans son ensemble et de la population canadienne.

La saison à venir s’annonce difficile, mais, pour citer la légende immortelle du soccer, Pelé : « Plus la victoire est difficile, plus la victoire est satisfaisante. »