Le 22 août 2024, le Bureau du surintendant des institutions financières (BSIF) a fait sa première publication trimestrielle sur les modifications réglementaires dans le cadre de sa mise à l’essai d’une nouvelle approche normalisée de publication des modifications dans le secteur financier fédéral. Le BSIF a précisé que cette approche visait à offrir plus de transparence et de prévisibilité, et à aligner clairement ses mesures réglementaires sur les principaux risques cernés par le BSIF.
La première publication trimestrielle comprenait une version modifiée finale de la ligne directrice E 21 sur la gestion du risque opérationnel et la résilience opérationnelle.
Dans l’ensemble, la version modifiée de la ligne directrice E-21 modernise l’approche du BSIF à l’égard du risque opérationnel en mettant l’accent sur la résilience opérationnelle et sur les risques non financiers. La ligne directrice s’applique à toutes les institutions financières fédérales (« IFF »), y compris les banques, les sociétés d’assurance et les succursales de ces établissements à l’étranger.
Le BSIF indique que la gestion du risque opérationnel consiste à cerner et à gérer tout risque susceptible d’influencer les activités des IFF, tandis que la résilience opérationnelle correspond à la capacité d’une IFF à mener ses activités, et tout particulièrement ses activités essentielles, en période de perturbation, et repose sur la gestion du risque opérationnel. L’application de la ligne directrice E-21 est fonction du risque et est proportionnelle à certains facteurs propres à l’IFF, c’est-à-dire : a) sa taille, b) sa stratégie, c) son profil de risque, d) la nature, la portée et la complexité de ses activités, et e) son interdépendance avec d’autres institutions financières, le système financier ou l’économie dans son ensemble.
Le BSIF a réorganisé et peaufiné le libellé de la ligne directrice E-21 publiée initialement pour consultation en octobre 2023, mais n’a pas modifié de façon importante ses attentes. Bien que le libellé diffère d’une version à l’autre, le résultat fondamental attendu reste le même : les pratiques de gestion du risque opérationnel soutiennent la résilience opérationnelle pendant les périodes de perturbation.
Gouvernance
La version modifiée de la ligne directrice E-21 décrit les attentes du BSIF en matière de gouvernance efficace de la gestion du risque opérationnel et de la résilience opérationnelle, y compris les responsabilités de la haute direction, les secteurs d’activité et fonctions centrales, la surveillance par les fonctions responsables du risque et de la conformité et l’assurance indépendante (p. ex., par la fonction d’audit interne).
Gestion du risque opérationnel
Le risque opérationnel est géré en concordance avec la propension à prendre des risques et avec les limites de risque explicites approuvées. On s’attend à ce que les IFF aient une taxonomie des risques qui comporte des catégories de risques se rapportant au personnel, à une inadéquation ou à une défaillance des processus ou des systèmes, ou à des événements extérieurs.
La ligne directrice E-21 traite des outils de gestion du risque opérationnel, y compris les évaluations du risque et des contrôles, les indicateurs de risque clés, les analyses des données sur les événements générateurs de risque opérationnel et les analyses de scénarios. La ligne directrice souligne également l’importance des activités de suivi et des rapports.
Résilience opérationnelle
On s’attend à ce que les IFF recensent leurs activités essentielles, qu’elles évaluent leur capacité à les maintenir en cas de perturbations et qu’elles cartographient les interdépendances internes et externes. Un seuil de tolérance aux perturbations doit être établi pour indiquer le niveau maximal de perturbations qu’une IFF est en mesure d’assumer.
La version finale de la ligne directrice continue de favoriser les tests de scénarios. Le BSIF appuie la réalisation périodique de tests de scénarios visant un ensemble de scénarios graves, mais vraisemblables, comme des pannes de courant, des cyberincidents, des défaillances technologiques, des catastrophes naturelles, des pandémies et des perturbations touchant des services essentiels de tiers.
Les tests de scénarios devraient s’appuyer sur l’analyse de scénarios et aider à mieux comprendre les circonstances où les seuils de tolérance aux perturbations seraient dépassés. Les fournisseurs tiers essentiels devraient être consultés au besoin. Bien que le BSIF n’établisse pas de calendrier précis, il encourage les tests « périodiques » et « itératifs », la « fréquence et l’intensité des tests [devant] être proportionnelles à la criticité des activités et au niveau de risque auquel elles sont exposées. » Lorsque l’environnement de risque connaît des changements importants, les tests devraient être menés plus fréquemment, y compris en dehors du cycle régulier.
Principaux aspects de la gestion du risque opérationnel qui contribuent à la résilience opérationnelle
Voici les aspects clés rattachés à la gestion du risque opérationnel qui servent à renforcer la résilience opérationnelle, selon la ligne directrice E-21 :
- la gestion du risque lié à la continuité des affaires;
- la gestion du risque lié à la reprise après sinistre;
- la gestion de crise;
- la gestion du changement;
- la gestion du risque lié aux technologies et du cyberrisque;
- la gestion du risque lié aux tiers;
- la gestion du risque lié aux données.
À quoi s’attendre?
Les IFF doivent se conformer immédiatement aux attentes énoncées aux sections 1 (Gouvernance) et 2 (Gestion du risque opérationnel) de la ligne directrice E-21.
Les autres sections de la ligne directrice font l’objet d’une mise en œuvre progressive étant donné qu’elles sont liées à la ligne directrice B-10, Gestion du risque lié aux tiers et à la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque. Le BSIF s’attend à une adhésion et à une mise en œuvre complètes d’ici le 1ᵉʳ septembre 2026.
