Avril 2017

IntroductionLa présente ligne directrice a été publiée pour la première fois en avril 2009

L’Autorité s’est donné comme cible de favoriser la convergence entre les objectifs de protection du consommateur de produits et services financiers et l’essor des institutions financières, et ce, dans un souci d’équité, d’intégrité et de pérennité du secteur financier. À ce titre, elle accorde une grande importance aux mesures qui doivent être mises en place par les institutions financières afin d’assurer la conformité de ces dernières à l’ensemble des lois, règlements et lignes directricesDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. auxquels elles sont assujetties.

Les institutions financières se préoccupent de plus en plus du risque de non-conformité compte tenu notamment des conséquences sur leur réputation et leur solvabilité. Dans cette optique, la gestion de la conformité devrait occuper une place importante au sein des institutions financières. Instaurer et véhiculer une culture de conformitéL’ensemble des normes, valeurs, attitudes et comportements qui caractérisent la manière dont une institution financière conduit ses activités en lien avec ses obligations de se conformer aux lois, règlements et lignes directrices auxquelles elle est soumise. devient la clé d’une gestion saine et prudente et de saines pratiques commercialesEnsemble des pratiques d’une institution financière visant à faire du traitement équitable des consommateurs un élément central de sa culture d’entreprise. et une mesure d’atténuation des risques pouvant découler de la non-conformité.

Les principes fondamentaux et orientations publiés par le Comité de Bâle sur le contrôle bancaireBANQUE DES RÈGLEMENTS INTERNATIONAUX. COMITÉ DE BÂLE SUR LE CONTRÔLE BANCAIRE. Orientations. Principes de gouvernance d’entreprise à l’intention des banques, juillet 2015; Principes fondamentaux pour un contrôle bancaire efficace, septembre 2012; Joint Forum, Principles for the supervision of financial conglomerates, September 2012. et l’Association internationale des contrôleurs d’assuranceINTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS. Insurance Core Principles, November 2015. exposent clairement la nécessité et l’importance pour les institutions financières de s’assurer de leur conformité aux lois, règlements et lignes directrices et pour les autorités de réglementation, de leur fournir les encadrements nécessaires pour ce faire.

L’Autorité adhère aux principes et orientations énoncés par ces instances internationales favorisant des pratiques de gestion saine et prudentePratiques de gestion d’une institution financière visant à assurer une saine gouvernance et le respect des lois régissant ses activités, en prévoyant notamment le maintien d’actifs permettant l’exécution de ses engagements au fur et à mesure de leur exigibilité et de capitaux permettant d’assurer sa pérennité. . Par son habilitation prévue aux diverses lois sectoriellesLoi sur les assureurs, RLRQ, c. A-32.1, article 463; Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. , RLRQ, c. C-67.3, article 565.1; Loi sur les institutions de dépôts et la protection des dépôts, RLRQ, c. I-13.2.2, article 42.2; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, article 254., elle donne la présente ligne directrice aux institutions financières, signifiant ainsi explicitement ses attentes en matière de gestion de la conformité.

Il est à noter que le terme générique « risque de non-conformité » est utilisé dans la présente pour faire référence au risque de non-conformité réglementaire inhérent aux lois, règlements et lignes directrices auxquels l’institution financière est assujettie. Toutefois, ce risque n’inclut pas les risques liés aux normes déontologiques.

1. Cadre de gestion de la conformité

Un cadre de gestion de la conformité contient les principes de base permettant à l’institution financière d’identifier, d’évaluer, de contrôler, d’atténuer et de faire le suivi du risque de non-conformité lié à ses activités. Ce cadre devrait être constitué des politiquesEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. et procéduresUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. ou tout autre mécanisme de contrôleIl peut s’agir aussi de programmes, de processus ou de structures. et devrait définir les risques de non-conformité à couvrir par l’institution. Il devrait être élaboré selon la nature, la taille, la complexité des activités et le profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. de l’institution financière.

Le cadre de gestion de la conformité, au même titre que le cadre de gouvernanceLa structure par laquelle une institution financière établit et met en place les éléments nécessaires à sa gouvernance. et le cadre de gestion intégrée des risquesEnsemble de pratiques et de processus s’appuyant sur une culture de risques et favorisant l’utilisation de techniques permettant d’améliorer le processus décisionnel et le rendement grâce à une vision holistique de l’ensemble des risques de l’institution financière. , est une composante essentielle pour assurer une gestion saine et prudente et de saines pratiques commercialesEnsemble des pratiques d’une institution financière visant à faire du traitement équitable des consommateurs un élément central de sa culture d’entreprise. d’une institution financière. Dans cet ordre d’idée, l’Autorité considère qu’il devrait s’arrimer au cadre global de la gestion des risques.

Les politiques et les procédures constituant le cadre de gestion de la conformité devraient notamment permettre de :

• définir les rôles et responsabilités des différents intervenants impliqués dans la gestion de la conformité;

• documenter la méthodologie utilisée pour identifier, évaluer, contrôler, atténuer et faire le suivi du risque de non-conformité lié à ses activités;

• veiller à ce que l’institution financière opère dans le respect des lois, règlements et lignes directrices;

• surveiller les expositions importantes au risque de non-conformité;

• s’assurer de l’adéquation, du respect et de l’efficacité des mécanismes de contrôle permettant d’atténuer les expositions importantes au risque de non-conformité;

• s’assurer qu’une vigie à l’égard des lois, règlements et lignes directrices en vigueur soit effectuée;

• s’assurer qu’une information suffisante et pertinente sur l’efficacité de la gestion du risque de non-conformité soit communiquée à la haute directionGroupe de personnes chargés de la gestion quotidienne d’une institution financière selon les stratégies et les politiques établies par le conseil d’administration. et au conseil d’administrationGroupe de personnes élues ou nommées qui est ultimement responsable de la gouvernance et de la supervision d’une institution financière. en temps opportun;

• rendre compte des résultats significatifs découlant de la supervision et de l’évaluation de la conformité effectuée respectivement par la fonction de conformitéLorsqu’il est fait mention de la fonction de conformité, il peut s’agir de toute autre fonction de supervision indépendante de la deuxième ligne de défenseLes trois niveaux de contrôle distincts au sein d’une institution financière nécessaires pour une gestion efficace des risques et leur contrôle. La première ligne de défense se charge de la gestion des risques et des contrôles opérationnels. La deuxième ligne de défense comprend les fonctions indépendantes de gestion des risques, de conformité et, pour les assureurs, d’actuariat.. Enfin, la troisième ligne de défense est assurée par la fonction d’audit interne et donne au conseil d’administration et à la haute direction l’assurance que la gestion des risques et les contrôles sont efficaces. . et par la fonction d’audit interneCette fonction assure l’évaluation systématique et indépendante de tous les processus de gestion des risques, de contrôle et de gouvernance. Elle constitue la troisième ligne de défense de l’institution financière. Lorsqu’il est fait mention de la fonction d’audit interne, il peut s’agir de toute autre fonction d’évaluation indépendante désignant la troisième ligne de défense. , le cas échéant;

• faire l’évaluation du cadre de gestion de la conformité et la fonction de conformité par l’audit interne ou par l’audit externe dans certains cas;

• proposer des plans d’action lorsque des lacunes importantes sont décelées.

Étant donné les impacts potentiels importants que peuvent avoir les risques de non-conformité sur la réputation de l’institution financière, cette dernière devrait disposer d’une solide culture de conformité relevant de la responsabilité de chacun des employés, initiée et appuyée par la haute direction et le conseil d’administration et ne reposant pas uniquement sur la conformité avec les lois, règlements et lignes directrices, mais aussi sur l’honnêteté et la bonne foi, en tout temps.

Fonction de conformité

Une fonction de conformité indépendante des activités qu’elle supervise est une des composantes clés de la deuxième ligne de défenseLes fonctions de la deuxième ligne de défense devraient être indépendantes de la gestion des opérations. L’Autorité est consciente que la diversité au niveau de la nature, la taille, la complexité et le profil de risque des institutions financières ont un impact sur la composition et la structure de la deuxième ligne de défense (voir la Ligne directrice sur la gouvernance). de l’institution financière et une base essentielle des pratiques de gestion saine et prudentePratiques de gestion d’une institution financière visant à assurer une saine gouvernance et le respect des lois régissant ses activités, en prévoyant notamment le maintien d’actifs permettant l’exécution de ses engagements au fur et à mesure de leur exigibilité et de capitaux permettant d’assurer sa pérennité. .

D’emblée, il importe de préciser qu’une fonction de conformité n’est pas forcément une unité particulière au sein de l’institution financière dans la mesure où il est possible d’utiliser des fonctions qui existent déjà de façon à ne pas créer de structures supplémentaires qui pourraient alourdir le fonctionnement de l’institution.

La fonction de conformité devrait être idéalement confiée à un chef de la conformitéVoir Section 2.3.2 « Rôles et responsabilités du chef de la conformité ».. Le personnel chargé de la conformité pourrait être impliqué dans des unités d’affairesLorsqu’il est fait mention d’une unité d’affaires, il s’agit de la plus petite composante de l’institution à laquelle est attribuée une responsabilité opérationnelle ou administrative.. Il importera toutefois que ces unités puissent, le cas échéant, rendre compte au chef de la conformité ou à la personne responsable de cette fonction au sein de l’institution financière, laquelle devrait être indépendante de la gestion des opérations.

Pour être efficace et assumer correctement son rôle au sein de la deuxième ligne de défenseAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gouvernance., la fonction de conformité devrait disposer selon la nature, la taille, la complexité des activités et le profil de risque de l’institution financière, de l’autorité suffisante, du positionnement hiérarchique adéquat, de l’indépendance par rapport à la gestion des opérations, des ressources nécessaires et du libre accès au conseil d’administration.

La fonction de conformité devrait établir et maintenir des politiques et des procédures lui permettant d’évaluer, selon une approche fondée sur les risques, l’adéquation, le respect et l’efficacité des mécanismes de contrôle de la conformité à tous les niveaux de l’institution. Elle devrait en outre s’assurer d’un traitement approprié des risques importants de non-conformité lors de la mise en œuvre du cadre de gestion de la conformité.

Selon une approche fondée sur les risques, la fonction de conformité devrait aussi voir à ce que le cadre de gestion de la conformité soit suffisamment robuste pour être en mesure de déceler les lacunes importantes en matière de conformité touchant l’institution financière et de les acheminer à la haute direction et au conseil d’administration.

Elle devrait en outre évaluer la fiabilité des informations fournies par les gestionnaires/directeurs opérationnels et s’assurer que les directions concernées prennent les mesures appropriées pour pallier les lacunes importantes décelées en matière de conformité.

La fonction de conformité devrait notamment :

• élaborer le cadre de gestion de la conformité et coordonner sa mise en œuvre au sein de l’institution financière;

• détenir une très bonne connaissance des lois, règlements et lignes directrices s’appliquant aux activités de l’institution, et ce, pour toutes les juridictions où elle fait affaire;

• aider la haute direction à gérer efficacement le risque de non-conformité auquel fait face l’institution financière;

• fournir au conseil d’administration et à la haute direction les renseignements nécessaires lui permettant d’obtenir une vue d’ensemble sur la conformité de l’institution;

• veiller à l’uniformité des méthodes de supervision de la conformité à tous les niveaux de l’institution financière afin d’en assurer une gestion harmonisée;

• être impliquée en amont des projets pouvant exercer un impact sur la conformité des activités afin d’identifier et d’évaluer de façon proactive les enjeux et risques potentiels de non-conformité;

• aider à sensibiliser et à former le personnel et, plus particulièrement, les employés engagés dans des activités à haut risque de non-conformité;

• agir comme un point de contact central pour répondre aux interrogations des membres du personnel au sujet de la conformité;

• fournir des orientations aux membres du personnel quant à l’application appropriée des lois, règlements et lignes directrices sous la forme de politiques, directives, procédures et autres documents.

Il importe de rappeler que l’institution financière conserve la pleine responsabilité de toute fonction de conformité impartieAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion des risques liés à l’impartition. de même que celle de la reddition de comptes liée à cette fonction.

Par ailleurs, en matière de divulgation et de transparence, l’Autorité s’attend notamment à ce que les institutions financières répondent aux attentes contenues dans la Ligne directrice sur la gouvernanceAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gouvernance..

2. Rôles et responsabilités

Un élément essentiel au bon fonctionnement d’un cadre de gestion de la conformité repose sur l’engagement de l’institution financière à promouvoir les valeurs d’un comportement soucieux du respect de la conformité. Les objectifs du cadre de gestion de la conformité seront plus faciles à atteindre si les rôles et les responsabilités sont bien identifiés et que leur attribution est connue et bien comprise au sein de l’institution financière.

Le conseil d’administration et la haute direction sont ultimement responsables de voir à ce que l’institution financière soit en conformité continue avec les lois, règlements et lignes directrices. Les rôles et responsabilités généralement attribués au conseil d’administration, à la haute direction et aux trois lignes de défenseLes trois niveaux de contrôle distincts au sein d’une institution financière nécessaires pour une gestion efficace des risques et leur contrôle. La première ligne de défense se charge de la gestion des risques et des contrôles opérationnels. La deuxième ligne de défense comprend les fonctions indépendantes de gestion des risques, de conformité et, pour les assureurs, d’actuariat.. Enfin, la troisième ligne de défense est assurée par la fonction d’audit interne et donne au conseil d’administration et à la haute direction l’assurance que la gestion des risques et les contrôles sont efficaces. AUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gouvernance. sont les suivants.

2.1 Rôles et responsabilités du conseil d’administrationLorsqu’il est fait mention du conseil d’administration, il peut s’agir d’un comité de ce dernier formé, par exemple, à des fins d’examen de points particuliers.

Compte tenu de la responsabilisation accrue et de l’imputabilité des membres du conseil d’administration, ces derniers devraient bien comprendre l’exposition de l’institution financière à un risque important de non-conformité et voir à ce que l’institution dispose d’un cadre de gestion de la conformité efficace. Les membres du conseil d’administration ont avantage à s’assurer que ce cadre fasse l’objet d’une mise à jour et d’une évaluation périodiques.

Dans ce contexte, le conseil d’administration devrait notamment :

• approuver les politiques importantes, incluant l’approbation des critères d’escalade en réponse à la matérialisation des risques importants de non-conformité, du cadre de gestion de la conformité et leurs modifications, le cas échéant;

• approuver les décisions de nomination, de révocation et de rémunération du chef de la conformité;

• s’assurer d’obtenir suffisamment de renseignements pertinents pour faire face, le cas échéant, aux lacunes importantes relatives à la conformité;

• examiner les rapports produits par la fonction de conformité et par l’audit interne et/ou externe;

• veiller à l’application des recommandations et à l’exécution des plans d’action à l’égard des lacunes importantes relatives à la conformité, le cas échéant;

• veiller à ce que la fonction de conformité ait l’autorité suffisante, le positionnement hiérarchique adéquat, l’indépendance par rapport à la gestion des opérations, les ressources nécessaires et le libre accès au conseil d’administration et qu’elle fasse l’objet d’évaluations périodiques.

2.2 Rôles et responsabilités de la haute direction

Il incombe à la haute direction de mettre en place une fonction de conformité au sein de l’institution financière. Elle devrait aussi veiller à ce que les politiques et procédures soient développées et appliquées efficacement par les personnes qui disposent de la compétenceNiveau approprié d’expertise, de qualifications professionnelles, de connaissance ou d’expérience pertinente pour œuvrer dans le domaine financier. pour ce faire et que toutes ces personnes comprennent et assument leurs responsabilités à cet égard. Si certaines des responsabilités de conformité sont acquittées par le personnel de différentes unités d’affaires, la répartition des responsabilités entre chacune de ces unités devrait être clairement établie.

La haute direction devrait notamment :

• mettre en œuvre un cadre de gestion de la conformité, s’assurer de son application et de sa mise à jour sur une base régulière;

• définir les critères d’escalade en réponse à la matérialisation des risques importants de non-conformité;

• veiller à ce que les recommandations relatives aux lacunes importantes soient adéquatement prises en considération.

2.3 Rôles et responsabilités des lignes de défense

2.3.1 Rôles et responsabilités des gestionnaires/directeurs opérationnelsLes directions opérationnelles constituent la première ligne de défense responsable de la gestion quotidienne des risques (voir la Ligne directrice sur la gouvernance).

Les gestionnaires/directeurs opérationnels devraient élaborer des procédures de contrôle relatives à la conformité et les intégrer aux activités quotidiennes de l’institution financière. Le but étant de prévenir et d’identifier rapidement le risque de non-conformité et d’en faire le suivi au chef de la conformité selon une fréquence déterminée par ce dernier.

2.3.2 Rôles et responsabilités du chef de la conformité

La fonction de conformité devrait être idéalement sous la responsabilité d’un chef de la conformité ou, à défaut de l’existence d’un tel poste, d’une personne détenant un niveau d’autorité suffisant pour assurer son indépendance et disposant des pouvoirs et des ressources nécessaires en fonction de la nature, de la taille et de la complexité des activités et du profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. de l’institution, afin d’accomplir son mandat adéquatement.

Le chef de la conformité devrait posséder une expérience pertinente, une formation adéquate et disposer des compétencesNiveau approprié d’expertise, de qualifications professionnelles, de connaissance ou d’expérience pertinente pour œuvrer dans le domaine financier. nécessaires et d’une bonne connaissance de l’institution financière et des lois, règlements et lignes directrices applicables.

Le chef de la conformité devrait plus précisément :

• conseiller et informer régulièrement le conseil d’administration et la haute direction sur la conformité de l’institution financière aux lois, règlements et lignes directrices ainsi que sur les expositions et lacunes importantes décelées, le cas échéant;

• donner son avis sur l’adéquation, le respect et l’efficacité des mécanismes de contrôle de la conformité à tous les niveaux de l’institution;

• s’assurer que les risques importants de non-conformité identifiés soient validés avec la haute direction et le conseil d’administration, afin qu’ils correspondent au niveau de sensibilité et de priorisation de ces derniers, et recommander leur ajustement, le cas échéant;

• affiner ses mandats et développer des relations de collaboration efficaces avec les gestionnaires/directeurs opérationnels et les chefs des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. de la deuxième ligne de défenseLes trois niveaux de contrôle distincts au sein d’une institution financière nécessaires pour une gestion efficace des risques et leur contrôle. La première ligne de défense se charge de la gestion des risques et des contrôles opérationnels. La deuxième ligne de défense comprend les fonctions indépendantes de gestion des risques, de conformité et, pour les assureurs, d’actuariat.. Enfin, la troisième ligne de défense est assurée par la fonction d’audit interne et donne au conseil d’administration et à la haute direction l’assurance que la gestion des risques et les contrôles sont efficaces. , notamment en ce qui a trait à l’élaboration des politiques relatives aux risques importants de non-conformité;

• mettre en place une procédure d’escalade en réponse à la matérialisation des risques importants de non-conformité répondant aux critères préalablement définis par la haute direction et approuvés par le conseil d’administration.

Le chef de la conformité devrait rendre compte périodiquement au conseil d’administration ou au comité d’audit, au comité de conformité ou à tout autre comité pertinent. De plus, il devrait être en mesure de se réunir en privé avec le conseil d’administration ou son président au moins une fois par année sans la présence de la haute direction afin de confirmer, entre autres, son indépendance au sein de l’institution financière, certains enjeux, voire même des points divergents avec la haute direction.

Les rapports portant sur la conformité devraient renfermer suffisamment de renseignements fiables, pertinents et utiles pour permettre au conseil d’administration et à la haute direction de porter un jugement éclairé sur la gestion de la conformité à tous les niveaux de l’institution financière. Les rapports pourraient par exemple couvrir :

• la portée et les résultats de la supervision de la gestion de la conformité, y compris les lacunes importantes au niveau de l’application du cadre de gestion de la conformité, les cas importants de dérogation ainsi que les expositions importantes au risque de non-conformité et leurs conséquences potentielles sur l’institution financière;

• les recommandations et les plans d’action à l’égard des lacunes importantes et des dérogations, le cas échéant;

• les interventions effectuées par les différents régulateurs au sein de l’institution financière;

• l’information sur les changements importants apportés aux lois, règlements et lignes directrices;

• les enjeux et les nouvelles tendances en matière de conformité au sein du secteur financier.

La documentation afférente à la gestion de la conformité, incluant les rapports présentés à la haute direction et au conseil d’administration, devrait être conservée selon des procédures de conservation cohérentes avec les orientations définies par l’institution financière ou avec toute exigence réglementaire ou autre appropriée.

2.3.3 Rôles et responsabilités de l’audit interneL’Autorité invite les institutions financières à consulter la Ligne directrice sur la gouvernance, où elle exprime ses attentes quant aux rôles et responsabilités des fonctions d’audit et dans laquelle sont couverts plusieurs volets en la matière, notamment : l’indépendance, l’objectivité, les compétences, connaissances et disponibilité des ressources, l’accès à l’information, etc.

L’audit interne devrait fournir une assurance objective quant à l’adéquation, au respect et à l’efficacité de la supervision de la conformité, en l’évaluant au niveau de la gestion quotidienne des opérations et de la fonction de conformité. Cette évaluation devrait aussi porter sur le cadre de gestion de la conformité et s’effectuer sur une base périodique selon une approche fondée sur les risques.

L’évaluation devrait déterminer si les politiques et procédures en place sont appropriées, bien respectées et conformes aux lois, règlements et lignes directrices. La portée de l’évaluation devrait être documentée et devrait dépendre de la nature, de la taille, de la complexité des activités et du profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. de l’institution financière.

Les rapports d’audit interne devraient être communiqués aux gestionnaires/directeurs opérationnels concernés, au chef de la conformité, à la haute direction et au conseil d’administration. Ils devraient renfermer suffisamment de renseignements fiables, pertinents et utiles sur les objectifs, la portée ainsi que les conclusions, recommandations et plans d’action appropriés. Les mesures correctives prises en réponse à ces recommandations devraient faire l’objet d’un suivi adéquat de la part des auditeurs internes.

Les rapports d’audit devraient entre autres faciliter la compréhension par le conseil d’administration de l’exposition de l’institution financière aux risques de non-conformité. Ils devraient ainsi l’aider à juger de la fiabilité de l’assurance que lui fournissent le chef de conformité et la haute direction quant à la supervision de la conformité à tous les niveaux de l’institution.