Rapport d’audit interne du Groupe du soutien de la surveillance - Division du risque opérationnel

Type de publication
Audit
Date

Table des matières

    1. Contexte

    Introduction

    L’Audit interne (AI) réalise des missions d’assurance pour déterminer si les processus de gestion du risque, de contrôle et de gouvernance du Bureau du surintendant des institutions financières Canada (BSIF), tels qu’ils ont été conçus et présentés par la direction, sont adéquats et fonctionnent de manière à ce que les risques soient bien identifiés et pris en charge, et pour veiller au respect des exigences sous forme, notamment, de politiques, de plans, de procédures ainsi que de lois et de leurs règlements d’application.

    L’audit de la Division du risque opérationnel du Groupe du soutien de la surveillance (DRO-GSS) a été recommandé par le Comité d’audit du BSIF, et le surintendant en a approuvé l’inclusion dans le Plan d’audit interne 2016-2017 du BSIF.

    Les cadres de la DRO ont pris connaissance du présent rapport; ils ont répondu aux constations et prédonisé des mesures leur donnant suite. Le rapport sera présenté lors de la réunion du Comité d’audit du BSIF du 15 février 2017 aux fins d’examen et d’approbation par le surintendant.

    Contexte

    Le GSS est formé de sept groupes distincts qui fournissent du soutien aux équipes des chargés de surveillance sous forme de connaissances techniques spécialisées. La DRO constitue l’un de ces groupes spécialisés.

    La mission de la DRO se décline comme suit :

    • conseiller et aider les chargés de surveillance qui réalisent des activités de contrôle, des examen sur place et des interventions préventives auprès des institutions de dépôts et des sociétés d’assurances fédérales (ci-après les « IFF ») en ce qui touche le risque opérationnel;
    • appuyer les efforts des équipes de surveillance en vue de contrôler et d’évaluer les questions systémiques ou sectorielles touchant le risque opérationnel et qui pourraient avoir des conséquences négatives pour les institutions;
    • aider le Secteur de la réglementation du BSIF à promouvoir et à mettre en application un cadre de réglementation qui incite les institutions à adopter des politiques et des procédures pour la gestion du risque opérationnel.

    Les activités de la DRO sont importantes puisque le risque opérationnel est un risque clé pour les institutions financières. Compte tenu du processus de surveillance intégré du BSIF dans le cadre duquel plusieurs aspects des activités de la DRO contribuent directement à l’évaluation globale des risques des IFF, l’incidence potentielle sur les institutions et, par conséquent, sur les objectifs du BSIF pourrait être de taille si les risques opérationnels ne sont pas décelés et évalués correctement et en temps opportun.

    Conformément à son Cadre de surveillance (le « Cadre »), le BSIF applique une méthodologie rigoureuse et fondée sur les risques pour superviser les IFF. Le Cadre énonce les principes, les concepts et le processus fondamental qui orientent les activités du BSIF pour assurer la surveillance de toutes les IFF. Il établit le cadre conceptuel d’un processus de surveillance efficace que tous les groupes de surveillance, dont le GSS-DRO, doivent suivre et appliquer.

    2. Paramètres de l’audit

    Objectif de l’audit

    L’audit avait pour objectif de déterminer si le processus de surveillance de la DRO est fondé sur les risques, et s’il contribue efficacement au processus d’évaluation des risques du BSIF. Plus précisément, nous cherchions à déterminer ce qui suit :

    • si les activités de contrôle et de planification de la DRO témoignent d’une approche et d’un mécanisme d’affectation des ressources fondés sur les risques;
    • si les éléments de preuve disponibles sont suffisants et assez pertinents pour étayer les évaluations et conclusions de la DRO, ainsi que les mesures prises, à l’égard du risque opérationnel;
    • si la méthodologie de surveillance du BSIF est appliquée de manière appropriée et cohérente au processus de surveillance suivi par la DRO pour cerner et évaluer les questions liées au risque opérationnel des IFF, et en rendre compte.

    Portée de l’audit

    L’audit a porté sur les activités de la DRO visant à aider les équipes des chargés de surveillance à évaluer les risques pour leurs institutions au cours des exercices 2014-2015 et 2015-2016.

    Sachant que le processus de surveillance ne cesse d’évoluer, l’AI a examiné la documentation portant sur les événements qui se sont produits après la période de l’audit choisie pour déceler des preuves d’amélioration, le cas échéant.

    Approche de l’audit

    L’approche relative à l’exécution de la mission comprenait :

    • l’examen du manuel et des procédures opérationnelles de la DRO;
    • des entretiens et des revues avec le personnel de la DRO afin de comprendre le processus et les pratiques de surveillance que cette dernière applique à ses activités de contrôle, de planification, d’évaluation, de rapport et de suivi;
    • l’examen de documents de surveillance préparés par les équipes de la DRO afin d’évaluer leur application de la méthodologie du BSIF;
    • des entretiens avec les équipes des chargés de surveillance et d’autres groupes du BSIF, selon les besoins.

    Déclaration de conformité

    L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes (IVI), à la Politique sur la vérification interne du Secrétariat du Conseil du Trésor (SCT) et aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui sont appuyées par les résultats du programme d’amélioration et d’assurance de la qualité.

    3. Catégories d’observations

    Catégories d’observations

    Les observations sont classées par catégorie afin d’aider la direction à affecter les ressources nécessaires pour combler les lacunes décelées et / ou améliorer les contrôles internes et / ou l’efficacité opérationnelle. Cependant, ces catégories laissent place à une interprétation et la direction doit les interpréter selon sa propre expérience et propension à prendre des risques.

    Les observations sont classées en trois catégories :

    Observation prioritaire – une attention immédiate est requise compte tenu soit d’une lacune significative au plan d’un contrôle (c.-à-d., il n’y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement), soit d’une possibilité d’améliorer considérablement les opérations.

    Observation à priorité moyenne – il faut combler une lacune au plan d’un contrôle ou améliorer les opérations à court terme.

    Observation à faible priorité – observation non essentielle à laquelle on peut donner suite soit en renforçant un contrôle interne soit en améliorant les opérations, normalement à peu de frais et d’efforts.

    Le classement ne doit pas être considéré en vase clos; il faut également tenir compte de son incidence sur d’autres objectifs et domaines.

    4. Résultats de la mission

    Sommaire

    Le personnel de la DRO a fait preuve d’une bonne compréhension des risques opérationnels inhérents aux activités commerciales des institutions financières. À titre de groupe de soutien de la surveillance, la DRO contribue de façon importante à l’efficacité globale du processus de surveillance du BSIF.

    Afin d’intégrer plus efficacement les efforts de la DRO aux processus de surveillance des équipes des chargés de surveillance, on pourrait insister davantage pour que les chargés de surveillance soient pleinement informés du contexte des caractéristiques du risque opérationnel et des éventuelles préoccupations de surveillance susceptibles d’affecter leurs institutions respectives. Il conviendrait de coordonner les deux niveaux de connaissance pratique (les chargés de surveillance et le groupe de soutien de la surveillance) et de les aligner pleinement avec le Cadre.

    Des initiatives de changement positives ont été réalisées afin d’accroître la contribution de la DRO aux processus de surveillance du BSIF, notamment pour améliorer les activités de planification et de contrôle, de même que des changements de dotation et la dotation de plusieurs postes vacants. Ces changements semblent être en accord avec les orientations. Il conviendrait toutefois de renforcer davantage les pratiques d’apprentissage et de perfectionnement de la DRO visant à rehausser les connaissances techniques, les aptitudes et les compétences requises des employés.

    5. Réponse de la direction

    Réponse

    La direction de la DRO tient à souligner le professionnalisme et la transparence dont l’équipe d’audit a fait preuve dans le cadre de sa démarche.

    La direction est déterminée à donner suite aux recommandations particulières comme l’indiques les mesures qu’elle préconise.

    6. Observations et recommandations

    1. Gestion des ressources, de la formation et du perfectionnement de la DRO

    Observation à priorité moyenne

    Afin de s’acquitter de son mandat, la DRO a besoin de ressources ayant des aptitudes spécialisées, de même que des connaissances et une expérience de pointe. Ces ressources doivent pouvoir effectuer des analyses approfondies et appliquer leur jugement à une gamme de questions nécessitant une connaissance spécialisée du risque opérationnel. Ces ressources internes devraient être planifiées de façon stratégique et gérées de manière efficace.

    Notre audit montre que même s’il y a des initiatives de formation à l’échelle de la DRO et que les employés disposent de documents formels sur l’engagement à l’égard des objectifs et de plans d’apprentissage, ces initiatives ne semblent pas avoir été conçues en fonction de la formation, de l’apprentissage et de l’acquisition des connaissances requises par les employés à divers échelons sur une plus longue période pour mettre le BSIF à l’abri du risque de dépendance à l’égard d’une personne clé.

    L’audit révèle aussi que la nature, la durée et la qualité de plusieurs initiatives de formation et d’apprentissage de la DRO ne visent pas adéquatement à développer et/ou à mettre à niveau les connaissances, les aptitudes et les compétences techniques qui pourraient être nécessaires pour combler les besoins futurs du BSIF. Même si la DRO dispose d’un budget de formation, les raisons de son utilisation ne sont pas toujours bien étayées, ce qui pourrait susciter des impressions d’iniquité et d’offre de possibilités inégales chez les employés. De plus, les consignes de la DRO sur la formation à l’accueil visant à intégrer plus rapidement les nouveaux employés à la Division et au BSIF sont réduites à leur plus simple expression et désuètes.

    Recommandation

    Pour renforcer l’approche de formation de la DRO, il faudra élaborer une stratégie d’apprentissage et de perfectionnement professionnel visant l’acquisition et le maintien des connaissances techniques, des aptitudes et des compétences requises de tous les employés qui rejoint la stratégie opérationnelle globale de la DRO et contribue à la gestion des talents.

    De plus, les consignes de la DRO sur la formation d’accueil des nouveaux employés devrait être périodiquement revue pour évaluer la pertinence de son contenu afin d’aider les nouveaux arrivants à s’adapter plus efficacement à l’environnement de travail de la Division et du BSIF.

    Une stratégie de développement des aptitudes a plus de chances d’être fructueuse si les employés la comprennent et l’appuient. Le partage et la communication de ce plan de perfectionnement en sollicitant la rétroaction des employés quant aux connaissances et aux aptitudes dont ils ont besoin pour faire leur travail et à leurs préférences à l’égard du style d’apprentissage pourrait faire partie intégrante de la réussite du plan.

    Les gestionnaires devraient être responsables du perfectionnement de leurs employés pour veiller à ce que le BSIF dispose, à différents échelons, des aptitudes techniques et de surveillance requises à plus long terme, et en rendre compte.

    Les dirigeants de la DRO devraient évaluer périodiquement la pertinence et l’adéquation des aptitudes, des connaissances et de l’expertise qu’offre le bassin de ressources de la Division pour répondre rapidement aux éventuels enjeux émergents et/ou changements de l’environnement externe dans lequel évoluent les institutions financières.

    Mesures préconisées par la direction

    Le plan d’apprentissage et de perfectionnement existant sera étoffé et mieux aligné de manière à ce que les connaissances techniques demeurent à jour. En outre, la formation et l’accueil seront coordonnés avec le programme global d’orientation et d’accueil des nouveaux employés du BSIF lorsque celui-ci sera en place.

    La direction est déterminée à mettre en œuvre la recommandation au sujet de l’apprentissage et du perfectionnement. Dans l’immédiat, on élaborera une stratégie d’apprentissage technique (septembre 2017) puis un inventaire des compétences décembre 2017) pour cerner les besoins au chapitre des compétences. De plus, les employés participent déjà à des forums sectoriels, à des conférences et à des programmes et ateliers propres à leurs activités.

    2. Alignement des consignes techniques avec le Cadre de surveillance du BSIF

    Observation à priorité moyenne

    À titre de groupe de soutien, la DRO contribue de façon importante à l’efficacité globale du processus de surveillance en place au BSIF. Cela est particulièrement vrai compte tenu de l’impact potentiellement négatif que le risque opérationnel pourrait avoir sur les IFF s’il n’est pas décelé et évalué en temps opportun.

    Les chargés de surveillance s’en remettent largement à la compétence, à la qualité et à la pertinence des travaux effectués par les groupes de soutien, dont la DRO. Le processus global de surveillance du BSIF est ancré dans le Cadre de surveillance de ce dernier, ce qui oblige les groupes de surveillance et de spécialistes à travailler en étroite collaboration, à intégrer leurs travaux et à mettre à profit leur expertise respective de manière efficiente et efficace. Pour faciliter l’intégration efficace des résultats des travaux de la DRO au processus de surveillance des chargés de surveillance, il importe que le Cadre du BSIF soit appliqué systématiquement à l’échelle de l’organisation.

    Notre audit montre que le personnel de la DRO a fait preuve d’une solide compréhension des risques opérationnels inhérents aux activités commerciales des institutions financières. En revanche, les évaluations du risque opérationnel par la DRO n’étaient pas toujours cohérentes.

    La DRO est déterminée à utiliser le Cadre de surveillance du BSIF comme principal levier méthodologique de ses processus et plans. Elle a mis au point ses propres outils et critères afin d’évaluer les risques opérationnels des IFF et la qualité de leurs fonctions respectives de gestion des risques. Ces outils et critères témoignent d’un esprit d’initiative et semblent être utiles à la DRO. Toutefois, à moins que les Services commun de surveillance (l’ancien Groupe des pratiques) ne passent en revue les consignes et outils de la DRO pour en assurer l’alignement avec les grands principes du Cadre du BSIF, l’application de ce dernier pourrait présenter des incohérences susceptibles de miner la pleine intégration des travaux de la DRO au processus de surveillance des chargés de surveillance.

    Vu la complexité croissante du secteur, il faut insister davantage pour que les chargés de surveillance soient pleinement informés du contexte des caractéristiques du risque opérationnel et des éventuels problèmes de surveillance qui pourraient toucher leurs institutions respectives. Les groupes de soutien tels la DRO doivent montrer clairement en quoi leurs efforts s’intègrent au processus de surveillance des chargés de surveillance, sinon les deux niveaux de connaissance pratique (les chargés de surveillance et le groupe de soutien de la surveillance) pourraient ne pas être entièrement coordonnés et intégrés, ce qui pourrait engendrer des lacunes dans la couverture des travaux de surveillance et/ou l’utilisation inefficace des ressources de surveillance du BSIF.

    Dans la mesure où les chargés de surveillance n’ont pas une compréhension élémentaire des caractéristiques du risque opérationnel, les risques opérationnels qui ciblent les activités des IFF pourraient ne pas être décelés adéquatement. Même si la DRO est en mesure de partager sa connaissance spécialisée des questions liées au risque opérationnel avec les chargés de surveillance (qui sont des généralistes, et non des spécialistes du risque opérationnel), l’approche de la DRO en matière de partage des connaissances sur les risques et nouvelles problématiques semble informelle.

    Recommandation

    Vu l’importance du processus de surveillance du BSIF – et pour faciliter la coordination
    et l’intégration efficaces des travaux et des conclusions des groupes de soutien comme la DRO aux travaux de surveillance des chargés de surveillance –, il faut mettre en place un processus afin d’assurer l’alignement adéquat de tous les critères et outils techniques opérationnels mis au point par les groupes de spécialistes avec le Cadre de surveillance du BSIF. Pour cela, il faudra sans doute faire appel au groupe des Services communs de surveillance (SCS) créé récemment puisque cette question ne relève sans doute pas du mandat de la DRO.

    Mesures préconisées par la direction

    À l’heure actuelle, les divisions du GSS ne sont pas tenues de faire approuver les critères et outils techniques opérationnels établis par les groupes de soutien. Il incombe à la division qui met au point un outil ou un critère d’en assurer la conformité avec les lignes directrices pertinentes et avec le Cadre de surveillance.

    L’équipe des SCS est la mieux placée, plus précisément en raison du soutien méthodologique qu’elle fournit, pour superviser et valider les critères d’évaluation internes mis au point par les équipes de surveillance pour en assurer la conformité avec le Cadre de surveillance. Au nombre des priorités des SCS, citons l’élaboration d’un cadre d’approbation de la gouvernance méthodologique et de mécanismes de gouvernance de la mise à jour et de la révision de la méthodologie de surveillance. À l’heure actuelle, les SCS mettent surtout l’accent sur un cadre d’approbation de la gouvernance méthodologique. Le Comité directeur des SCS approuvera ce cadre et le soumettra au Comité supérieur des opérations aux fins de discussion et d’examen d’ici le 30 septembre 2017.

    Par contre, la gouvernance de la mise à jour et de la révision de la méthodologie de surveillance, qui englobe les critères d’évaluation internes établis par les équipes de surveillance, est assujettie à l’approbation du cadre de gouvernance méthodologique. La création de ce protocole sera étudiée avant le 31 décembre 2017.