Audit des processus du Secteur de la surveillance – Groupe des banques d’importance systémique

Type de publication
Audit
Date

Table des matières

    1. Contexte

    Le BSIF surveille les banques ainsi que les sociétés d’assurance, de fiducie et de prêt de compétence fédérale avant tout pour protéger les déposants et les titulaires de police contre les pertes. Les travaux de surveillance visent à cerner l’incidence des risques existants et émergents, qu’ils soient internes ou externes, sur le profil de risque d’une institution financière fédérale (IFF).

    Cadre de surveillance et processus fondamental

    Les travaux de surveillance sont régis par le Cadre de surveillance, qui énonce les principes, les concepts et le processus fondamental qui orientent les activités de surveillance des IFF. La surveillance des IFF repose sur des principes, ce qui requiert l’application d’un jugement sûr pour cerner et évaluer le risque. L’étendue des mesures de surveillance est fonction de la nature, de la taille, de la complexité et du profil de risque de l’IFF, et des conséquences possibles de sa faillite.

    Un groupe central a élaboré des normes fondamentales à l’appui du Cadre de surveillance; ces normes s’appliquent à toutes les équipes du Secteur de la surveillance pour assurer la cohérence des travaux de surveillance. À ces normes s’ajoutent des politiques et des procédures qui sont adaptées aux travaux de surveillance qu’effectue chacun des secteurs. La plateforme Vu a été déployée à titre de système d’enregistrement de tous les travaux de surveillance au cours des dernières années. Les travaux de surveillance visant à évaluer le profil de risque d’une IFF sont consignés dans les sujets d’évaluation (SE) de Vu à l’aide de sujets prédéfinis qui permettent de mieux organiser les évaluations et facilitent les comparaisons.

    Le BSIF a recours à un processus défini, dynamique et continu pour orienter ses activités de surveillance propres à une IFF. Le processus de surveillance fondamental comporte les principales activités de surveillance suivantes :

    Processus de surveillance fundamental. Description texte suit.

    Description texte suit - Processus de surveillance fundamental.

    Le BSIF se sert d’un processus dynamique et continu pour orienter ses travaux de surveillance visant les institutions financières fédérales (IFF) : stratégie de surveillance, planification, suivi, examen sur place, production de rapports, mesures d’intervention, gestion des lacunes, entre autres. ​

    • La planification annuelle consiste à élaborer des stratégies de surveillance qui décrivent les travaux de surveillance prévus au cours des trois prochaines années.
    • Les activités de suivi comprennent l’examen périodique des données relatives à l’IFF, au secteur auquel elle appartient et à son contexte, afin de se tenir au fait des changements à l’interne et à l’externe. Les activités de suivi renforcées englobent des demandes d’information ponctuelles au-delà des activités de suivi régulières portant sur les risques supplémentaires.
    • Les examens s’entendent des travaux de surveillance plus détaillés que les activités de suivi. Les examens qui sont effectués sur place sont de grande portée et comprennent une analyse poussée de différents risques et des pratiques de gestion du risque de l’IFF. Les examens effectués à distance présentent les mêmes caractéristiques et objectifs qu’un examen sur place, mais sont d’une portée limitée.
    • La production de rapports et les interventions permettent au BSIF de communiquer les résultats de son évaluation à l’IFF par l’entremise de divers rapports officiels écrits (lettre de surveillance annuelle, lettre de surveillance provisoire, lettre de classement à un stade d’intervention ou de déclassement).
    • La gestion des lacunes permet au BSIF de surveiller les plans d’action des IFF et les preuves de clôture des lacunes et d’en faire un suivi (le terme lacune est en usage depuis la mise en service de la plateforme Vu) pour s’assurer que l’IFF donne adéquatement suite aux risques dans les meilleurs délais.

    Groupe des banques d’importance systémique (GBIS)

    À l’époque de notre audit, le GBIS du bureau de Toronto relevait du Secteur de la surveillance des institutions de dépôt (SSID), qui était chargé de surveiller cinq des six banques d’importance systémique (BIS) canadiennes pour déterminer si elles étaient en bonne santé financière et si elles se conformaient à leur loi habilitante et aux exigences en matière de surveillance. Les équipes des chargés de surveillance (CS) faisaient fonction de gestionnaires des relations auprès des IFF et effectuaient les activités de surveillance fondamentale susmentionnées avec l’aide de spécialistes des diverses équipes du Secteur de soutien du risque (SSR). Le Bureau central des opérations bancaires aidait aussi le SSID à s’acquitter de ses responsabilités au chapitre de l’évaluation du risque par l’entremise de diverses activités de liaison et fonctions opérationnelles.

    Les activités de surveillance du BSIF ont été réorganisées le 1er avril 2022. Aux fins du présent rapport d’audit, l’équipe des CS des BIS est hébergée par le SSID avec l’aide d’équipes de spécialistes du SSR et du groupe des Services communs de surveillance (SCS). Bon nombre de ces fonctions relèvent du nouveau Secteur de la surveillance; alors que les constatations portent sur les activités tel qu’elles se déroulaient au moment de l’audit, les recommandations et les plans d’action de la direction reflètent la nouvelle structure organisationnelle et les nouvelles responsabilités.

    Missions d’audit antérieures

    Le SSID n’a fait l’objet d’aucun audit au cours des six dernières années. Deux audits ont été réalisés auprès du Groupe des conglomérats d’institutions de dépôt (en 2012) et du Groupe des institutions de dépôt hors conglomérat (en 2014) avant que les secteurs ne soient restructurés.

    2. L’audit

    2.1 Objectif

    La mission visait à évaluer la suffisance, l’efficacité et l’efficience des activités de contrôle liées aux processus de surveillance du BSIF.

    2.2 Portée

    Dans le cadre de la mission d’audit, on a vérifié les activités de surveillance menées par le GBIS entre le 1er avril 2019 et le 31 mars 2021 afin d’en évaluer les éléments suivants :

    • la conception globale et l’efficacité opérationnelle des activités de surveillance et des contrôles clés, y compris la planification annuelle, les examens, les activités de suivi, la gestion des lacunes, l’intervention, l’approbation annuelle et le processus des lettres de surveillance annuelles;
    • le respect du Cadre de surveillance ainsi que des normes et politiques applicables.

    L’audit couvre des périodes antérieures et postérieures à la COVID‑19, de sorte que le GBIS a dû ajuster ses travaux de surveillance prévus. L’audit couvre également des périodes antérieures et postérieures à la mise en service du système Vu.

    2.3 Approche et méthodologie

    L’audit a été réalisé en appliquant les procédures suivantes :

    • examen des cadres, normes et politiques applicables, y compris les normes et les consignes sectorielles et des SCS;
    • démonstrations et entrevues avec des membres de la haute direction et des équipes de surveillance de chacune des équipes des BIS;
    • contrôle d’échantillonnage statistique et fondé sur le jugement pour toutes les principales activités de surveillance.

    2.4 Déclaration de conformité

    L’audit s’est déroulé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du Conseil du Trésor, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

    3. Vue d’ensemble des résultats de l’audit

    3.1 Sommaire des résultats

    De façon générale, les activités de surveillance menées par le GBIS respectent les normes et les processus officiels en vigueur et sont adéquatement documentées. L’audit a mis au jour certains points à améliorer, notamment pour officialiser des aspects des processus de planification annuelle et de gestion des lacunes, renforcer le contrôle de la validation des données à l’appui du suivi du rendement et de la présentation de rapports, et améliorer les preuves d’examen et d’approbation des principaux documents de surveillance.

    Même si les points à améliorer soulevés ici portent sur la surveillance des BIS, toutes les équipes de surveillance du BSIF sont encouragées à examiner les constatations pour en évaluer le caractère applicable.

    3.2 Réponse de la direction

    La direction accepte les constatations et a établi des plans d’action pour chaque recommandation décrite dans les sections pertinentes, toutes les recommandations devant être mises en œuvre d’ici le deuxième trimestre de 2024-2025.

    4. Observations et recommandations

    4.1 Planification annuelle

    La planification annuelle est un exercice formel où les différentes équipes de surveillance font preuve de collaboration. Le processus pourrait mieux correspondre à la tolérance au risque et les besoins en ressources, et appuyer les changements dynamiques du risque tout au long de l’année.

     

    Le processus de planification annuelle cerne les travaux de surveillance à effectuer au cours de l’année suivante et comprend une estimation fondée sur le risque de l’ensemble des ressources nécessaires pour réaliser les objectifs du Secteur. Il comprend la planification de travaux propres aux IFF (examens, activités de suivi, suivi des lacunes, etc.) ou généraux (projets du BSIF, initiatives sectorielles, etc.).

    Harmonisation avec le CTR sectoriel

    Le Cadre de tolérance au risque (CTR) énonce des types et des niveaux de risque que le BSIF est prêt à accepter de la part des IFF qu’il surveille et l’étendue requise des mesures de surveillance. La stratégie de surveillance, qui fait état des activités propres aux IFF requises pour tenir le profil de risque de l’IFF à jour, est mise à jour chaque année lors de la planification annuelle et doit correspondre au CTR sectoriel.

    Bien que les cinq stratégies de surveillance de notre échantillon aient été révisées à l’étape de la planification annuelle, l’une d’elles ne correspondait pas tout à fait au CTR sectoriel. Le CTR du SSID prévoit qu’une activité d’envergure élevée ou modérée d’une IFF - qui est considérée comme étant un élément fondamental du modèle d’affaires d’une IFF - doit être examinée tous les cinq ans environ. Dans le cas de notre échantillon, deux examens d’activités d’envergure modérée sont prévus plus de cinq ans après le plus récent (neuf et dix ans après, respectivement) en raison de contraintes de ressources signalées par la direction.

    Comme le CTR énonce les attentes générales au sujet de la nature et de la fréquence des activités de surveillance, la planification des travaux de surveillance en dehors des attentes sectorielles peut accélérer la détérioration de l’information et se traduire par une évaluation inexacte du profil de risque de l’IFF.

    Planification des ressources

    Outre la stratégie de surveillance, deux documents clés sont utilisés dans le cadre du processus de planification : le modèle d’étendue des mesures de surveillance (MEMS) utilise le CTR sectoriel pour élaborer les hypothèses clés et établir le nombre de jours prévus pour les travaux de surveillance propres aux IFF et calculer les ressources dont chaque équipe de CS a besoin; et les fiches de planification indiquent le nombre de jours prévus à l’échelle, plus détaillée, de l’activité en fonction des ressources effectivement disponibles.

    Or, les outils de planification existants n’appuient peut‑être pas efficacement les décisions de planification des ressources prises par la direction. Par exemple, les ressources calculées par le MEMS sont une projection incomplète du total des ressources puisqu’elles ne couvrent pas les travaux qui ne sont pas propres aux IFF. L’échantillon de notre audit faisait état d’un nombre élevé de jours requis pour des travaux non propres aux IFF, allant de 180 à 544 jours, mais dont les besoins en ressources ne tenaient pas compte. Par conséquent, lorsque le MEMS est transmis à la haute direction pour éclairer la planification des ressources, les besoins réels en ressources ne sont pas indiqués. De plus, comme le nombre de jours prévus à l’échelle de l’activité d’après les fiches de planification dépend des ressources effectivement disponibles, il correspond toujours aux ressources approuvées et ne reflète pas les éventuelles lacunes au chapitre des ressources.

    À défaut d’un portrait clair et complet des ressources nécessaires pour mener toutes les activités prévues, des contraintes de ressources et de la façon dont ces contraintes correspondent aux tolérances au risque établies, la direction pourrait ne pas être en mesure d’affecter les ressources aux plus grandes priorités ou aux risques les plus élevés tout au long de l’année.

    Recommandation 1 (risque élevé) 

    Le GBIS doit veiller à ce que le processus de planification annuelle harmonise les activités de surveillance prévues avec la fréquence et la nature des travaux qu’exige le CTR sectoriel, et renforce les outils existants à l’appui d’une planification efficace des ressources pour toutes les activités.

    Suivi des modifications du plan de surveillance

    La Politique sur le contrôle interne du SSID exige que l’on remplisse et fasse approuver un formulaire de demande de modification. L’équipe du Bureau central des opérations bancaires appuie le Secteur en établissant un rapport d’avancement des travaux qui suit les modifications des travaux de surveillance prévus approuvés.

    Pour les cinq échantillons examinés, des formulaires de demande de modification ont été remplis et approuvés à l’égard de toutes les modifications importantes des examens prévus, comme l’exige la Politique sur le contrôle interne. Or, à l’heure actuelle, il n’est pas nécessaire de suivre les modifications importantes des activités de suivi renforcées prévues comme dans le cas des examens prévus. Même si, de par leur conception globale, les activités de suivi renforcées constituent un processus fluide et souple qui permet d’ajouter des activités de suivi renforcées tout au long de l’année, certaines de ces activités sont prévues à l’avance, comme les travaux supplémentaires visant les IFF classées à un stade d’intervention, les études thématiques et le suivi de la mise en place des modifications apportées à la réglementation. Un suivi incomplet des modifications du plan de surveillance pourrait fausser l’estimation des ressources nécessaires et se traduire par des décisions d’affectation de ressources qui ne sont pas étayées.

    On a également constaté que, même si certaines activités de suivi renforcées se présentaient comme des évaluations distinctes du risque, la plupart étaient intégrées aux activités de suivi régulières. Cela complique l’identification claire et le suivi des activités de suivi renforcées et fait en sorte qu’il est difficile de s’assurer que des travaux ont été réalisés comme prévu pour composer avec les risques émergents ou supplémentaires.

    Risques surveillés par les comités d’étude des risques du BSIF

    L’un des principes clés du Cadre de surveillance est que l’évaluation du risque doit être continue et dynamique pour refléter les modifications du risque au sein de l’IFF et de son contexte opérationnel. On s’attend donc à ce que le plan de surveillance soit ajusté tout au long de l’année pour tenir compte des modifications importantes des risques existants et émergents.

    Pour appuyer la gouvernance des risques pansectoriels, le BSIF a mis sur pied des comités d’étude des risques qui ont pour fonction de se pencher sur ces risques dans le but d’éclairer les travaux de surveillance. Pour l’essentiel de la durée de notre mission, ces risques ont été examinés par le Comité d’étude des risques émergents avant que celui‑ci ne soit remplacé par le Comité des risques d’affaires en mars 2021. Malgré la périodicité de ces discussions sur les risques, il n’y avait pas de mécanisme formel garantissant que les plans des IFF tiennent compte de l’orientation des réunions de ces comités ou que la priorité des risques soit intégrée aux activités de surveillance. La direction a indiqué que l’intégration des priorités du Comité des risques d’affaires est maintenant plus officielle dans le présent cycle de planification annuelle, mais cela ne faisait pas partie de notre audit et n’a pu être validé.

    À défaut d’un mécanisme officiel, des risques suivis par les comités d’étude des risques du BSIF pourraient être omis ou ne pas être pleinement intégrés aux travaux de surveillance, de sorte que les ressources limitées pourraient être affectées à des domaines moins à risque et que les évaluations du risque des IFF pourraient ne pas refléter la réalité.

    Recommandation 2 (risque modéré)

    Le GBIS doit veiller à ce que le processus de planification annuelle suive les modifications importantes hors examen apportées aux travaux de surveillance prévus et inclue officiellement les risques suivis par le Comité des risques d’affaires.

    4.2 Gestion des lacunes

    Les lacunes sont suivies et closes par les équipes de surveillance responsables. Par contre, le processus actuel de gestion des lacunes pourrait être amélioré afin de préciser les exigences de l’évaluation des plans d’action des IFF et d’officialiser le processus de suivi ainsi que la clôture des lacunes des IFF dans les meilleurs délais.

     

    Les travaux de surveillance permettent de cerner les préoccupations spécifiques au sujet des activités de gouvernance, de gestion du risque ou de contrôle d’une IFF et de les lui signaler formellement sous forme de lacunes. Les recommandations servent à communiquer formellement le fait que le BSIF s’attend à ce que les IFF corrigent les lacunes. Il est essentiel que les recommandations fassent l’objet d’un suivi dans les meilleurs délais par les équipes de surveillance responsables pour veiller à ce que les préoccupations en matière de surveillance soient adéquatement corrigées.

    Plans d’action

    En vertu de la norme Gestion des lacunes, afin de donner suite aux recommandations du BSIF, les IFF doivent fournir des plans d’action et des échéances pour les mesures correctives, dont les CS et les spécialistes évaluent la suffisance. Une fois l’évaluation du plan d’action de l’IFF achevée, le CS doit en accuser réception et signaler les préoccupations ou les lacunes, le cas échéant.

    Pour 81 % des échantillons examinés (21 sur 26), impossible de trouver de la documentation démontrant que la suffisance du plan d’action connexe a fait l’objet d’une évaluation. Dans les cas où il y avait de la documentation, impossible de démontrer l’approbation dans 60 % des échantillons (3 sur 5), ou de démontrer qu’il y avait eu communication avec l’IFF dans 80 % des cas (4 sur 5). Selon les entrevues auprès des diverses équipes des CS, on ne s’entend pas sur la façon d’évaluer les plans d’action, sur l’approbation requise et sur la question de savoir si l’évaluation de résultats satisfaisants doit être communiquée à l’IFF. L’ambiguïté de la norme en vigueur en ce qui touche les attentes au sujet de l’évaluation du plan d’action et de sa communication peut faire en sorte que les plans d’action mis en œuvre par l’IFF seront inadéquats, de sorte que les lacunes ne seront pas corrigées de façon adéquate.

    Recommandation 3 (risque modéré)

    Le GBIS doit définir et consigner les attentes à l’égard de l’évaluation des plans d’action des IFF, de même que la façon de communiquer les résultats des évaluations aux IFF lorsque cela est justifié.

    Suivi des recommandations

    La norme Gestion des lacunes exige que les surveillants fassent un suivi des recommandations et reçoivent des preuves de clôture des lacunes de la part des IFF, avec l’appui de spécialistes du SSR au besoin. Les cinq IFF surveillées par le GBIS font le point chaque trimestre au BSIF, de façon anticipatrice, sur l’état des lacunes.

    À l’heure actuelle, le GBIS mise sur les rapports trimestriels des IFF pour faire le point sur les lacunes; à cela s’ajoutent des points de contact périodiques avec les institutions. Par contre, les dates des rapports trimestriels des IFF ne concordent pas nécessairement avec les dates cibles des lacunes. L’équipe du Secteur de la surveillance pourrait donc omettre certaines lacunes d’un trimestre à l’autre ou recevoir des nouvelles après la date cible d’achèvement. Dans nos échantillons, 69 % (9 sur 13) des preuves de clôture ont été fournies par l’IFF après la date cible convenue (52 jours de retard en moyenne), et il n’y avait pas de preuve d’un suivi effectué par les équipes des CS. Le fait de miser uniquement sur la communication trimestrielle anticipatrice de l’IFF et les points de contact informels ne suffit pas à s’assurer que les lacunes sont closes avant les dates convenues.

    En l’absence d’un suivi formel des dates cibles d’achèvement et d’un mécanisme de suivi, les lacunes pourraient ne pas être closes dans les meilleurs délais, ce qui pourrait prolonger l’exposition de l’IFF aux risques.

    Report des dates cibles

    Il incombe aux IFF de fournir au BSIF des preuves de clôture des lacunes pour appuyer l’exécution des plans d’action en fonction de l’échéancier convenu (date cible). Si l’IFF ne peut respecter l’échéancier initial convenu, elle peut demander une prolongation et une nouvelle date cible peut être fixée.

    Il n’existe présentement aucune consigne ni aucun processus formel pour évaluer, signaler aux échelons supérieurs et approuver le report d’une date cible. Dans notre échantillon, pour 75 % (9 sur 12) des lacunes dont la date cible avait été reportée, on ne pouvait trouver de documents faisant état de la demande et de son approbation. Toujours selon notre échantillon, le nombre moyen de jours de prolongation au‑delà de la date cible initiale était de 437 et oscillait entre 76 et 1 490. À défaut d’un processus formel d’évaluation et d’approbation, il est difficile de déterminer si une longue prolongation accordée était raisonnable et bien étayée.

    Clôture des lacunes

    La norme Gestion des lacunes exige que les surveillants précisent la nature des travaux à effectuer pour évaluer la clôture d’une lacune et énumère trois principaux mécanismes de clôture : l’examen administratif, l’évaluation de l’efficacité et la confirmation par un tiers. Elle exige en outre que l’évaluation de la clôture soit bien étayée pour démontrer qu’il y a eu clôture satisfaisante.

    Puisque les mécanismes de clôture donnent une idée des efforts requis pour clore une lacune, il n’existe présentement pas de consignes claires ou d’approche structurée pour faire correspondre le niveau d’effort de clôture aux répercussions de la lacune. Notre échantillon présentait des incohérences dans la manière de clore des lacunes; dans certains cas, différents mécanismes de clôture ont été utilisés alors que les répercussions des lacunes étaient les mêmes alors que, dans d’autres, on a employé le même mécanisme de clôture alors que les répercussions des lacunes étaient différentes. Bien que la sélection d’un mécanisme de clôture d’une lacune exige un certain jugement, si la justification n’est pas suffisamment étayée, il est difficile de déterminer si le mécanisme de clôture d’une lacune qui a été choisi était approprié.

    De plus, on ne sait trop s’il faut une quantité minimale de documents pour étayer l’évaluation de la clôture d’une lacune et si l’ampleur de la documentation devait dépendre des répercussions et de la complexité de la lacune. L’échantillon que nous avons examiné faisait état de divers mécanismes utilisés pour consigner les résultats des évaluations et le niveau de détail variait d’une lacune à l’autre.

    Recommandation 4 (risque élevé) 

    Le GBIS doit définir et étayer les attentes quant aux dates cibles des activités de suivi, au report des dates cibles et aux efforts de clôture des lacunes pour veiller à ce que les lacunes fassent l’objet d’un suivi en fonction des dates cibles, soient closes rapidement et soient consignées de façon adéquate.

    4.3 Suivi du rendement

    Les secteurs font un suivi centralisé du rendement des principales activités de surveillance. Il est possible d’améliorer les contrôles des données sources servant au suivi du rendement pour assurer l’exactitude du suivi et de la présentation des indicateurs de rendement clés.

     

    Le BSIF a établi des indicateurs de rendement clés (IRC) pour suivre de manière formelle le rendement de certaines activités de surveillance. Le système Vu, dont le Groupe chargé des technologies et des outils des SCS assure le soutien, a été mis en production en trois étapes entre novembre 2019 et octobre 2020. Elle constitue maintenant le système source pour la présentation des IRC puisque les travaux de surveillance de toutes les équipes du Secteur de la surveillance y sont consignés.

    L’un des IRC a trait à l’évaluation et à la communication rapide des preuves de clôture des lacunes. D’après notre échantillon, 17 % (3 sur 18) des lacunes relevant du SSR indiquaient un délai de réponse supérieur à la norme de 150 jours, ce qui est inférieur à la cible de 90 %. Nous avons aussi constaté que certains champs principaux de Vu (date de la « Réponse de l’IFF au CS/spécialiste quant à la mesure correctrice proposée », date de la « Réponse du CS à l’IFF concernant l’achèvement de l’examen », etc.) n’ont pas été remplis de manière cohérente ou exacte par les équipes du Secteur de la surveillance si l’on se fie aux documents d’appui. Alors que plusieurs outils (le glossaire du système Vu, p. ex.) sont disponibles pour faciliter l’utilisation de la plateforme, comme le système est relativement nouveau, les équipes du Secteur de la surveillance n’ont pas pleinement fait usage de ces outils et en ignorent peut‑être l’existence. Comme certains de ces champs du système Vu servent à déclarer les IRC, des données inexactes auraient entaché la déclaration des IRC, ce qui aurait empêché la direction de faire un suivi efficace du rendement. Les équipes du Secteur de la surveillance n’ont pas établi de contrôles internes supplémentaires pour valider l’exactitude et l’exhaustivité des données saisies dans le système Vu.

    La saisie de données inexactes et l’utilisation incohérente des principaux champs de Vu pourraient se traduire par des rapports inexacts sur les IRC, ce qui limiterait la supervision du rendement de l’équipe par la direction et la capacité du Secteur de comparer le rendement entre les équipes.

    Recommandation 5 (risque modéré)

    Le GBIS doit mettre en place des contrôles de validation supplémentaires pour garantir l’exactitude et l’exhaustivité des données source à l’appui du suivi du rendement et des rapports idoines.

    4.4 Examen et approbation des principaux documents de surveillance

    Les principaux documents de surveillance sont soumis à un examen secondaire pour garantir la qualité des travaux. Toutefois, le processus et les contrôles existants qui servent à prouver qu’il y a eu examen et approbation peuvent être améliorés pour démontrer un respect suffisant des normes, des consignes et des attentes de la direction.

    Preuves d’examen et d’approbation

    L’examen et l’approbation des travaux de surveillance par la direction garantissent que l’évaluation par le BSIF du profil de risque de l’IFF est adéquate et respecte les normes et consignes établies ainsi que les attentes de la direction. La norme Pouvoirs d’approbation exige que les preuves d’un examen soient consignées. Depuis la mise en service du système Vu, les preuves doivent être consignées directement dans Vu ou y être liées.

    Toutefois, dans le cas des méthodes d’examen qui ne sont pas consignées directement dans Vu, il n’y a pas de directives particulières au sujet des preuves d’examen de base. Dans notre échantillon, nous avons relevé bon nombre d’examens ou d’approbations de divers documents de surveillance clés qui n’étaient pas consignés ou pas formellement approuvés. Les exceptions visaient autant le GBIS et les équipes du SSR et portaient sur diverses activités de surveillance, dont la planification annuelle, les examens, le suivi et les lettres de surveillance annuelles.

    Là où l’examen et l’approbation n’étaient pas consignés dans notre échantillon, on n’a pu vérifier si l’approbation a été obtenue dans les meilleurs délais. Pour les échantillons faisant état d’une approbation formelle, celle‑ci n’a pas été obtenue dans les meilleurs délais dans certains cas. Plus précisément, même si la matrice de risque de l’IFF est examinée chaque trimestre lors de l’évaluation du suivi, elle doit être formellement approuvée au moins chaque année comme l’exige la norme Documents de surveillance. D’après les dates consignées dans Vu, 40 % (2 sur 5) des approbations annuelles de notre échantillon n’ont pas été obtenues formellement dans l’année suivant la date d’approbation annuelle précédente.

    À défaut de consignes claires sur ce qui devrait constituer des preuves d’examen de base, l’examen et l’approbation des principaux documents de surveillance pourraient ne pas être pleinement démontrés alors que cela est nécessaire pour assurer la prise de décisions de surveillance adéquates dans les meilleurs délais.

    Recommandation 6 (risque modéré)

    Le GBIS doit normaliser les exigences minimales en matière de preuves d’examen et d’approbation afin de garantir la qualité des travaux de surveillance.

    Annexe A - Notation des recommandations

    Les recommandations sont notées afin d’aider la direction à affecter les ressources nécessaires pour combler les lacunes relevées ou améliorer les contrôles internes ou l’efficience opérationnelle. Ces notes ne sont fournies qu’à titre informatif. La direction doit les évaluer selon sa propre expérience et sa propension à prendre des risques.

    Les recommandations sont notées en fonction des définitions suivantes :

    • Risque élevé : une attention immédiate est requise compte tenu d’une lacune importante sur le plan d’un contrôle (c.-à-d. qu’il n’y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement) ou d’une possibilité d’améliorer sensiblement les opérations.
    • Risque modéré : lacune à combler sur le plan d’un contrôle ou amélioration opérationnelle à apporter à court terme.
    • Risque faible : recommandation non essentielle à laquelle on peut donner suite pour renforcer un contrôle interne ou en améliorer l’efficience, normalement à peu de frais et d’efforts. Les notes individuelles ne doivent pas être considérées seules; il faut tenir compte aussi de leur effet sur d’autres objectifs.