Ligne directrice sur la gouvernance
- Introduction
- 1. Gouvernance de l’institution financière
- 2. Rôles et responsabilités attribués au conseil d’administration et à la haute direction
- 3. Cadre de gouvernance
- 4. Contrôle interne
- 5. Fonction de gestion des risques
- 6. Fonction de conformité
- 7. Fonctions d’audit
- 8. Probité et compétence
- 9. Politique de rémunération
- 10. Divulgation et transparence
Avril 2021
IntroductionLa présente ligne directrice a été publiée pour la première fois en avril 2009, suivi d’une première mise à jour en septembre 2016.
La gouvernance d’entreprise fait référence aux relations entre la direction d’une entreprise, son conseil d’administrationGroupe de personnes élues ou nommées qui est ultimement responsable de la gouvernance et de la supervision d’une institution financière. , ses actionnaires et ses autres parties intéresséesToute personne ou organisme pouvant être affecté par une décision ou une activité d’une autre partie. . Elle détermine également la structure par laquelle sont définis les objectifs d’une entreprise ainsi que les moyens de les atteindre et d’assurer une surveillance des résultats obtenusORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES, Principes de gouvernement d’entreprise du G20 et de l’OCDE, septembre 2015..
Dans une industrie réglementée et fondamentalement tributaire de la confiance des consommateurs telle que celle des produits et services financiers, une saine gouvernance est cruciale et constitue la pierre angulaire d’une gestion saine et prudente.
Dans cette perspective, l’Autorité désire s’assurer que les institutions financières adoptent de saines pratiques de gouvernance en s’appuyant notamment sur l’adoption et la promotion d’une culture d’entrepriseFait référence aux valeurs et aux normes communes qui caractérisent une entreprise donnée et influencent sa façon de penser, sa conduite et les actions de ses employés. fondée sur un comportement organisationnel éthique et sur la responsabilisation des membres du conseil d’administration et de la haute directionGroupe de personnes chargés de la gestion quotidienne d’une institution financière selon les stratégies et les politiques établies par le conseil d’administration. .
Par culture d’entreprise, l’Autorité réfère aux valeurs et aux normes communes qui caractérisent une entreprise donnée et influencent sa façon de penser, sa conduite et les actions de l’ensemble du personnel. Par conséquent, une bonne culture est essentielle pour la viabilité d’une institution financière dont les affaires dépendent de la confiance des consommateurs. À l’inverse, une culture déficiente peut causer d’importants préjudices et nuire à la réputation d’une entreprise jusqu’à un point où sa viabilité pourrait être menacée.
Par ailleurs, les principes fondamentaux et orientations publiés par le Comité de Bâle sur le contrôle bancaireBASEL COMMITTEE ON BANKING SUPERVISION. BANK FOR INTERNATIONAL SETTLEMENTS. Corporate Governance Principles for Banks (Guidelines), July 2015. et par l’Association internationale des contrôleurs d’assuranceINTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS. Insurance Core Principles, November 2015. exposent clairement la nécessité pour les institutions financières d’instaurer de saines pratiques en matière de gouvernance et, pour les autorités de réglementation, de leur fournir les encadrements nécessaires pour ce faire.
L’Autorité adhère aux principes et orientations énoncés par ces instances internationales favorisant les pratiques de gestion saine et prudentePratiques de gestion d’une institution financière visant à assurer une saine gouvernance et le respect des lois régissant ses activités, en prévoyant notamment le maintien d’actifs permettant l’exécution de ses engagements au fur et à mesure de leur exigibilité et de capitaux permettant d’assurer sa pérennité. . Ainsi, par son habilitation prévue aux diverses lois sectoriellesLoi sur les assureurs, RLRQ, c. A-32.1, article 463; Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. , RLRQ, c. C-67.3, article 565.1; Loi sur les institutions de dépôts et la protection des dépôts, RLRQ., c. I-13.2.2, article 42.2; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, article 254., elle établit la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. destinée aux institutions financières, signifiant ainsi explicitement ses attentes en matière de gouvernance.
1. Gouvernance de l’institution financière
L’Autorité s’attend à ce que l’institution financière se dote d’une gouvernance efficace et efficiente fondée sur une culture d’entreprise prenant en compte les intérêts à long terme de l’institution financière et de ses clients.
La présente section fait état, dans leurs grandes lignes, des composantes que l’Autorité considère essentielles pour assurer une gouvernance efficace et efficiente d’une institution financière. Ces composantes sont décrites en détail dans chacune des autres sections de la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. , soit une description des rôles et responsabilités du conseil d’administrationLorsqu’il est fait mention du conseil d’administration, il peut s’agir d’un comité de ce dernier formé, par exemple, à des fins d’examen de points particuliers. et de la haute direction, un cadre formel de gouvernance, des mécanismes de contrôle interneL’ensemble des mécanismes de contrôle mis en place au sein de l’institution financière pour donner aux instances décisionnelles une assurance raisonnable que les objectifs d’efficacité et d’efficience des opérations, de protection des actifs, de fiabilité des informations et de conformité sont atteints. , des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. Notamment de la gestion des risques, de la conformité et, le cas échéant, de l’actuariat. et d’audit, des critères de probitéQualité de quelqu'un qui observe parfaitement les règles morales, qui respecte scrupuleusement ses devoirs, les règlements, etc. Elle est démontrée dans le comportement de la personne et dans la conduite des affaires tant personnelles que professionnelles. et de compétenceNiveau approprié d’expertise, de qualifications professionnelles, de connaissance ou d’expérience pertinente pour œuvrer dans le domaine financier. , une politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. de rémunération et une divulgation d’information suffisamment transparente envers toutes les parties intéressées.
La gouvernance décrit généralement l’organisation administrative d’une institution en vue de réaliser ses objectifs, de la diriger et de gérer ses risques. Pour assurer l’exercice d’une gouvernance efficace et efficiente, il est essentiel que les rôles et responsabilités des membres du conseil d’administration et de la haute direction soient clairement définis, en lien avec la promotion d’une culture d’entreprise reflétant ses valeurs fondamentales.
Une gouvernance efficace et efficiente implique la mise en place d’un cadre formel de fonctionnement, de supervision et de reddition de comptes par le biais de politiques, de procéduresUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. et de systèmes d’information qui contribuent à organiser la gestion de l’institution financière et à en assurer son contrôle.
Une gouvernance efficace et efficiente nécessite aussi des dispositifs de gestion de risques et de contrôle répartis entre plusieurs secteurs et niveaux de l’organisation, ce qui requiert une approche rigoureuse et coordonnée. À cet égard, le modèle des trois lignes de défenseLes trois niveaux de contrôle distincts au sein d’une institution financière nécessaires pour une gestion efficace des risques et leur contrôle. La première ligne de défense se charge de la gestion des risques et des contrôles opérationnels. La deuxième ligne de défense comprend les fonctions indépendantes de gestion des risques, de conformité et, pour les assureurs, d’actuariat.. Enfin, la troisième ligne de défense est assurée par la fonction d’audit interne et donne au conseil d’administration et à la haute direction l’assurance que la gestion des risques et les contrôles sont efficaces. THE INSTITUTE OF INTERNAL AUDITORS. Leveraging COSO across the three lines of defense, July 2015. constitue une approche pouvant convenir à tous les types d’institutions financières, laquelle pourrait toutefois être modulée selon leur nature, taille, complexité et profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. .
Le modèle des trois lignes de défense a le mérite de constituer une structure de contrôle fiable permettant d’établir une allocation claire et ordonnée des rôles et responsabilités des intervenants. Grâce à ce modèle, les institutions financières sont en mesure de coordonner les fonctions de gestion des risques et de contrôle selon une approche systématique fondée sur trois niveaux distincts, réparties comme suit :
-
La première ligne de défense correspond aux fonctions liées aux contrôles et aux mesures correctives assumées par les unités opérationnelles responsables d’accepter et de gérer les risques au quotidien;
-
La deuxième ligne de défense se compose de toutes les fonctions chargées de surveiller les risques, notamment la finance, la gestion des risques, la conformité et, le cas échéant, l’actuariat;
-
La troisième ligne de défense, l’audit interne, fournit une évaluation indépendante et une assurance objective quant à l’efficacité globale de la gouvernance, de la gestion des risques et du contrôle interne.
La probité et la compétence des personnes ayant un pouvoir décisionnel au sein des institutions financières sont essentielles à une saine gouvernance. Par conséquent, il est primordial qu’une institution financière soit dotée d’une politique d’évaluation de ces attributs qui soit fondée sur des critères robustes et objectifs et qu’elle s’assure de leur respect en tout temps.
Le volet de la rémunération est un autre élément important et intrinsèque de la bonne gouvernance d’une institution financière et, à ce titre, il est attendu qu’une politique de rémunération des membres du conseil d’administration et de la haute direction, de même que des personnes responsables des fonctions de supervision et des employés jouant un rôle clé dans la prise de risques, soit adoptée. Ladite politique devrait être élaborée de manière à ne pas induire une prise excessive de risques et à considérer les intérêts à long terme de l’institution financière.
Une saine gouvernance implique enfin que l’institution financière divulgue les principaux aspects de son cadre de gouvernanceLa structure par laquelle une institution financière établit et met en place les éléments nécessaires à sa gouvernance. et soit suffisamment transparente envers toutes les parties intéressées afin de leur permettre d’en apprécier l’efficacité et d’être en mesure d’évaluer adéquatement la performance de l’institution.
2. Rôles et responsabilités attribués au conseil d’administration et à la haute direction
L’Autorité s’attend à ce que les rôles et responsabilités du conseil d’administration et de la haute direction soient clairement définis et séparés de façon à s’assurer que leurs membres respectifs assument leurs fonctions avec compétence et en toute indépendance.
Par ailleurs, l’Autorité s’attend à ce que les membres du conseil d’administration de l’institution financière soient majoritairement indépendants. La notion d’indépendance est caractérisée par la capacité des membres du conseil d’administration à exercer, collectivement ou individuellement, un jugement objectif et impartial sur les affaires de l’institution financière sans influence indue de la haute direction ou des parties intéressées.Les administrateurs indépendants devraient pouvoir tenir des réunions périodiques hors de la présence des administrateurs non indépendants et des membres de la haute direction. À défaut, l’institution devrait être en mesure de documenter les procédures mises de l’avant pour favoriser les libres discussions et un jugement objectif.
La stabilité et l’efficacité d’une institution financière passent en premier lieu par une gestion responsable de la part des administrateurs et de la haute direction. Une attention particulière doit donc être portée à la qualité de la supervision et du contrôle exercés par la haute direction et par le conseil d’administration, là où les politiques sont élaborées et les décisions stratégiques sont prises. La gestion d’une institution financière exige une connaissance poussée de l’entité, de l’environnement dans lequel elle opère, de sa culture, de son ou ses secteurs d’activités ainsi que de son profil de risque. Cette connaissance peut porter sur des domaines tels que la nature des risques, la réglementation, les lignes d’affaires, les produits, les principes comptables et/ou actuariels, etc. Dans cette optique, il apparaît essentiel que les institutions financières mettent de l’avant, notamment par le biais d’une politique de gestion des ressources humaines, leurs intentions à l’égard de la planification de la relève des postes de la haute direction.
2.1 Rôles et responsabilités du conseil d’administrationEn vertu des lois sectorielles, le conseil d’administration doit s’assurer que l’institution financière autorisée suit des saines pratiques commerciales et des pratiques de gestion saine et prudente: Loi sur les assureurs, RLRQ, c. A-32.1, articles 94 et ss.; Loi sur les coopératives de services financiers, RLRQ, c. C-67.3, articles 243 et ss.; Loi sur les institutions de dépôts et la protection des dépôts, R.L.R.Q., c. I-13.2.2, articles 28.38 et ss.; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, articles 75 et ss.
Le conseil d’administration est responsable de superviser la gestion effectuée par la haute direction. Il devrait donc veiller à la mise en place des dispositifs nécessaires à l’atteinte d’une saine gouvernance et voir à leur efficacité, notamment en prenant connaissance des rapports pertinents provenant de la haute direction découlant de l’application de ces dispositifs. Dans cette perspective, le conseil d’administration devrait également veiller à ce que les rôles et responsabilités attribués aux membres du conseil et ceux des comités, à la haute direction et aux personnes responsables des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. de l’institution soient clairement définis de manière à favoriser une séparation adéquate entre ces responsabilités de supervision et celles de gestion, et ce, en fonction de la nature, de la taille et de la complexité des activités de l’institution.
Le conseil d’administration devrait être composé de membres qui, ensemble, disposent des compétences répondant aux exigences liées au mandat qui leur est confié. Le mandat du conseil doit être écrit et faire notamment mention des rôles et responsabilités attribués aux membres qui le composent.
Bien que les membres du conseil d’administration demeurent collectivement responsables des décisions prises par l’institution financière, le président du conseil joue un rôle prépondérant à cet égard. Afin de s’assurer de l’autonomie du conseil d’administration et de sa capacité à assumer efficacement son mandat, les meilleures pratiques militent en faveur de la séparation du rôle de président du conseil d’administration de celui de président et chef de la direction de l’institution financière. Toutefois, l’Autorité pourrait considérer que cette attente est satisfaite, malgré le fait qu’une même personne occupe les deux postes, si l’institution financière peut démontrer que des mécanismes ont été mis en place pour favoriser la prise de décision objective.
Sous réserve de la législation applicable à l’institution financière, le président du conseil d’administration devrait être nommé par les membres du conseil d’administration. Il devrait bénéficier ainsi de la confiance de ses collègues, de la haute direction, des gestionnaires et, le cas échéant, des membres ou actionnaires de l’institution financière. Il devrait faire preuve de leadership en présidant des réunions axées sur les débats d’idées où les discussions sont libres et transparentes, permettant à tous de faire valoir leurs points de vue. Dans cette perspective, il devrait en outre faire preuve de perspicacité en gérant efficacement, dans des délais parfois courts, des opinions potentiellement contradictoires, tout en assurant une prise de décision éclairée et en temps opportun.
Les saines pratiques en matière de gouvernance encouragent également les membres du conseil d’administration à procéder périodiquement à une autoévaluation individuelle et collective de l’efficacité du travail effectué. Ce type d’exercice favorise le maintien, voire le rehaussement de l’efficacité du conseil d’administration. La transparence quant aux mécanismes de renouvellement des membres du conseil est également souhaitable.
Globalement, le conseil d’administration est responsable d’instaurer une culture d’entreprise, un cadre de gouvernance et des objectifs stratégiques qui soient cohérents avec les valeurs et les intérêts à long terme de l’institution financière.
Dans le cadre de sa responsabilité générale de veiller à ce que la haute direction assure le bon fonctionnement de l’organisation, en regard des rôles et responsabilités qui lui sont habituellement dévolus, le conseil d’administration devrait notamment :
-
approuver la structure organisationnelle, le cadre de gouvernance et la mise en place des mécanismes de contrôle interne;
-
approuver les politiques;
-
approuver les stratégies, les objectifs et les plans d’affaires;
-
approuver les nouvelles initiatives et activités d’envergureUne activité est considérée d’envergure dans la mesure où elle contribue à la réalisation des objectifs et des stratégies d’une institution.;
-
veiller à la performance de l’institution financière en lien avec ses objectifs, ses stratégies et ses plans d’affaires et, le cas échéant, à ce que les correctifs nécessaires soient apportés;
-
veiller à ce que l’institution financière comprenne et maîtrise bien son environnement et la gestion de ses risques;
-
veiller à ce que l’institution financière agisse en conformité avec les lois, règlements et normes applicables;
-
approuver la charte, le plan d’audit, le budget et les ressources prévisionnels de l’audit interne;
-
veiller à la relève des postes du conseil d’administration, de la haute direction et des autres postes clés;
-
approuver la politique de rémunération des membres du conseil d’administration, de la haute direction et des autres postes clés et veiller à ce qu’elle soit alignée avec les intérêts à long terme de l’institution;
-
veiller à ce que les membres du conseil d’administration et de la haute direction ainsi que les responsables des fonctions de supervision soient probes et compétents et agissent en cohérence avec les valeurs et les intérêts à long terme de l’institution financière;
-
veiller à ce que la haute direction fasse la promotion d’une culture d’entreprise fondée sur un comportement organisationnel éthique, sur de saines pratiques de gestion de risques et de conformité ainsi que sur le traitement équitable de la clientèle.
Comité d’audit
En vertu des lois sectoriellesLoi sur les assureurs, RLRQ, c. A-32.1, article 100; Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. , RLRQ, c. C-67.3, article 253.1; Loi sur les institutions de dépôts et la protection des dépôts, R.L.R.Q., c. I-13.2.2, article 28.44; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, article 81., toute institution financière autorisée au Québec doit former un comité d’audit au sein de son conseil d’administration. Les principales fonctions de ce comité consistent généralement à surveiller l’information financière ainsi que les mécanismes de contrôle interne et de gestion de risquesCes deux fonctions pourraient également être assumées par un comité de gestion des risques, advenant l’existence d’un tel comité. et le cadre de gouvernance mis en place par la haute direction afin de s’assurer que les principaux risques soient correctement gérés et portés à la connaissance des personnes responsables.
Dans ce même ordre d’idée et compte tenu des meilleures pratiques, le comité d’audit devrait :
-
être distinct des autres comités;
-
avoir un président qui est indépendant et qui n’est pas le président du conseil d’administration ou de tout autre comité;
-
être majoritairement composé d’administrateurs non dirigeants et indépendants;
-
inclure des membres qui ont, par exemple, de l’expérience dans les pratiques d’audit, d’information financière, de comptabilité, de gestion des risques ou les pratiques actuarielles, le cas échéant.
Il est attendu que le comité d’audit s’assure de l’efficacité des processus de gouvernance, de gestion de risques et de contrôles internes. Dans cette perspective, le comité d’audit devrait notamment :
-
s’assurer de l’indépendance et de l’objectivité des auditeurs (internes et externes);
-
favoriser un contexte propice à des échanges transparents entre la haute direction et les auditeurs (internes et externes);
-
comprendre les stratégies d’audit interne et externe et s’assurer de la prise en compte des principaux risques d’auditRisques que les auditeurs produisent de mauvaises conclusions et des opinions erronées à partir du travail qu’ils ont réalisé.;
-
surveiller les travaux des auditeurs (internes et externes) et évaluer l’efficacité de l’audit.
De façon générale, les fonctions du comité d’audit se déclinent comme suit en ce qui concerne sa relation avec l’audit interne :
-
recommander et réviser la charte d’audit interne précisant la mission, les pouvoirs et les responsabilités de la fonction d’audit interneCette fonction assure l’évaluation systématique et indépendante de tous les processus de gestion des risques, de contrôle et de gouvernance. Elle constitue la troisième ligne de défense de l’institution financière. ;
-
recommander le plan d’audit interne axé sur les risques;
-
recommander le budget et les ressources prévisionnels de l’audit interne;
-
approuver les décisions de nomination, de reconduite, de révocation et, le cas échéant, de rémunération du responsable de l’audit interneSous réserve de la législation applicable à l’institution financière;
-
être destinataire des renseignements communiqués par le responsable de l’audit interne relatifs à la réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne;
-
demander de l’information pertinente à la haute direction et au responsable de l’audit interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
En entretenant une relation efficace avec l’audit interne, le comité d’audit s’assure que sa charte, ses activités et ses processus soient appropriés, bien compris et répondent toujours à ses besoins et à ceux du conseil d’administration.
Par ailleurs, le comité d’audit devrait être en mesure de tenir des rencontres régulières avec le responsable de l’audit interne, et le cas échéant, selon la nature, la taille, la complexité et le profil de risque de l’institution, avec les responsables des fonctions de supervision. Il devrait aussi prévoir, au moins une fois par an, une rencontre en privé avec ces responsables sans la présence de la haute direction, afin de confirmer, entre autres, leur indépendance au sein de l’institution financière, certains enjeux, voire même des points divergents avec la haute direction.
En ce qui concerne sa relation avec les auditeurs externes, le comité d’audit devrait notamment s’assurer :
-
de la portée du plan d’audit;
-
de la compétence et des ressources de l’auditeur externe;
-
de formuler une recommandation concernant la nomination, la reconduite, la destitution et la rémunération de l’auditeur externe;
-
d’examiner périodiquement l’efficience et la qualité du travail effectué par l’auditeur externe;
-
de l’indépendance de l’auditeur, de ses pratiques et de sa politique interne en matière de contrôle de la qualité;
-
du respect des pratiques comptables et actuarielles, le cas échéant, ainsi que de leur caractère prudent et approprié;
-
que toute correspondance importante entre l’auditeur externe et la haute direction à l’égard des constats d’audit lui soit expédiée;
-
que les états financiers aient été préparés conformément aux normes d’information financière applicables.
Le comité d’audit devrait s’entretenir régulièrement avec l’auditeur externe de toute question relative au rapport d’audit, aux états financiers ou à toute préoccupation soulevée par ce dernier. Comme avec l’auditeur interne, certains entretiens devraient s’effectuer en privé afin de bien comprendre, en toute indépendance, tous les enjeux et les mesures qui auraient pu être prises.
2.2 Rôles et responsabilités de la haute direction
D’une manière générale, la haute direction exerce l’ensemble des fonctions liées à la gestion et au bon fonctionnement de l’organisation d’une manière qui soit cohérente avec la stratégie, l’appétit et les niveaux de tolérance aux risques et les différentes politiques approuvées par le conseil d’administration.
La haute direction de l’institution financière occupe donc un rôle de premier plan dans la structure de gouvernance. Elle est non seulement l’architecte des systèmes et des processus essentiels au fonctionnement du cadre de gouvernance, mais il lui appartient également de s’assurer que les divers dispositifs de gestion et reddition de comptes mis en place pour ce faire remplissent adéquatement les mandats qui leur sont attribués.
En regard des rôles et responsabilités généralement dévolus à la haute direction, on retrouve notamment :
-
élaborer les politiques devant être approuvées par le conseil d’administration et s’assurer de leur mise en œuvre;
-
élaborer les stratégies, les plans d’affaires, les objectifs opérationnels, la structure organisationnelle et les mesures de contrôle;
-
planifier, diriger et contrôler les activités de l’institution financière;
-
s’assurer de l’efficacité de la structure organisationnelle et des contrôles et en informer régulièrement le conseil d’administration;
-
s’assurer de l’atteinte des objectifs opérationnels, des stratégies et des plans d’affaires approuvés par le conseil d’administration;
-
s’assurer de saines pratiques en matière de gestion et de gouvernance;
-
s’assurer que l’information destinée au conseil d’administration soit suffisamment complète, compréhensible et pertinente pour lui permette de prendre des décisions éclairées;
-
promouvoir une culture d’entreprise fondée sur un comportement organisationnel éthique et de saines pratiques de gestion des risques, de conformité et de traitement équitable de la clientèle.
En somme, les instances décisionnellesLe conseil d’administration, la haute direction et les personnes responsables des fonctions de supervision. de l’institution financière, composées des membres du conseil d’administration, des membres de la haute direction et des personnes responsables des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. , constituent les piliers sur lesquels devra s’appuyer un cadre de gouvernance qui répond aux attentes de l’Autorité. La section suivante présente et décrit les conditions de mise en place d’un tel cadre de gouvernance.
3. Cadre de gouvernance
L’Autorité s’attend à ce que l’institution financière développe et mette en place un cadre de gouvernance modulé en fonction de sa nature, sa taille, la complexité de ses activités et de son profil de risque et qu’elle s’assure de son efficacité.
Le cadre de gouvernance établit et formalise les stratégies, politiques et procédures devant être mises en place afin de définir la structure organisationnelle et d’organiser les divers éléments nécessaires d’une gouvernance efficace et efficiente pour une gestion saine et prudente pour la protection des intérêts des assurés ou des déposants.
L’élaboration du cadre de gouvernance devrait prendre en considération le caractère distinctif des entités comme celles à caractère coopératif, les mutuelles et les compagnies ou encore refléter l’appartenance à un groupe financierEst considéré comme « groupe financier » tout ensemble de personnes morales formé d’une société mère (institution financière ou holding) et de personnes morales qui lui sont affiliées. de même que les opérations menées par le biais de filiales à l’échelle du territoire couvert par les activités.
Le cadre de gouvernance d’une institution financière devrait également refléter les changements qui s’opèrent au fil du temps. La qualité des pratiques de gouvernance est un facteur important au maintien de la confiance des marchés. À cet égard, celles-ci devraient évoluer de façon à refléter les nouvelles façons de faire, notamment en lien avec les technologies, et les meilleures pratiques de l’industrie.
C’est par le biais du cadre de gouvernance que le conseil d’administration démontre son souci d’appliquer les principes de gouvernance les plus rigoureux au sein de l’institution financière.
Le cadre de gouvernance devrait être suffisamment souple et transparent pour assurer une prise de décision adéquate et en temps opportun en vue de l’atteinte des objectifs stratégiques de l’institution financière. Il devrait également être établi en fonction de la nature, de la taille, de la complexité des activités, du profil de risque de l’institution financière et tenir compte de divers autres facteurs tels que la structure de propriété, la structure organisationnelle et les ressources disponibles.
Le cadre de gouvernance devrait en outre permettre de coordonner les initiatives visant à améliorer les pratiques de gestion au sein de l’institution financière en lien avec des facteurs plus subjectifs comme sa culture et ses valeurs. Ainsi établi, le cadre de gouvernance permet d’aligner la stratégie et les objectifs au profil de risque de l’institution et d’assurer une gestion saine et prudente de ses opérations en tout temps avec intégrité et en conformité avec les lois, règlements et normes applicables.
De façon générale, un cadre de gouvernance efficace permet de s’assurer que les processus de gestion des risques et de contrôle fonctionnent adéquatement. Ceci nécessite une coordination rigoureuse entre trois groupes de fonctions distinctes se répartissant selon trois lignes de défense.
Première ligne de défense
Les directions opérationnelles constituent la première ligne de défense responsable de la gestion quotidienne des risques puisque la conception et le pilotage des contrôles ainsi que leur intégration dans les systèmes et les processus s’effectuent sous leur supervision. À ce chapitre, leurs responsabilités devraient notamment consister à :
-
identifier, évaluer, gérer et contrôler les risques;
-
piloter l’élaboration et la mise en œuvre des procédures de contrôle interne;
-
surveiller l’application de ces procédures par leurs collaborateurs;
-
détecter et signaler les expositions inhabituelles aux risques en tenant compte de l’appétit pour le risqueNiveau global et type de risque qu’une institution financière est prête à prendre pour réaliser son plan d’affaire et rencontrer ses objectifs stratégiques. et des niveaux de tolérance aux risques de l’institution financière et des politiques, limites et contrôles en la matière;
-
s’assurer que les activités soient compatibles avec les objectifs fixés;
-
s’assurer que les activités soient exercées en conformité avec les lois, règlements et normes applicables.
Les gestionnaires/directeurs opérationnels devraient également mettre en œuvre des mesures correctives permettant de pallier les contrôles et processus déficients. Ils devraient également s’acquitter de leurs tâches conformément à la culture de risque promue par la haute direction.
Deuxième ligne de défense
Ces fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. sont créées par la haute direction pour s’assurer de la bonne conception, de l’efficacité et du fonctionnement adéquat de la première ligne de défense. Elles contribuent à la mise au point et/ou à la surveillance des contrôles au niveau des opérations. Elles varient selon la typologie et les caractéristiques des institutions financières. De façon générale, la deuxième ligne de défense devrait comprendre les fonctions de supervision visant notamment la finance, la gestion des risques, la conformité et, le cas échéant, l’actuariatCompte tenu de leur importance particulière pour l’encadrement prudentielApproche de supervision basée sur des principes plutôt que l’édiction de règles précises, favorisant ainsi, au moyen de lignes directrices, l’adoption des meilleures pratiques par les institutions financières. des institutions financières, les composantes de la deuxième ligne de défense relatives aux mécanismes de contrôle interne et aux fonctions de gestion de risques et de conformité font l’objet de sections distinctes de la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. . .
Les responsabilités devraient notamment consister à :
-
appuyer la haute direction à mettre au point des mécanismes de contrôle interne afin d’atténuer les risques;
-
surveiller l’adéquation et l’efficacité du contrôle interne;
-
émettre des directives et s’assurer que des formations sur les processus de gestion des risques soient dispensées;
-
examiner la conformité aux lois, règlements et normes;
-
effectuer la reddition de comptes au conseil d’administration;
-
détecter les défaillances et soumettre des recommandations pour y remédier en temps opportun et en effectuer le suivi nécessaire.
Les fonctions de la deuxième ligne de défense devraient être indépendantes de la gestion des opérations. L’Autorité est consciente que la diversité au niveau de la nature, la taille, la complexité et le profil de risque des institutions financières ont un impact sur la composition et la structure de la deuxième ligne de défense et son degré d’indépendance. À titre d’exemple, certaines institutions financières pourraient assurer cette indépendance par une simple séparation de tâches ou par la mise en place de mécanismes à cet effet.
Troisième ligne de défenseIIA POSITION PAPER. The Three Lines of Defense in Effective Risk Management and Control, January 2013.
Indépendant des deux premières lignes de défense, l’audit interne est une fonction de supervision qui devrait fournir au conseil d’administration et à la haute direction, selon une approche axée sur les risques, une assurance quant à l’efficacité des processus de gouvernance, de gestion des risques et de contrôle interne et leur adéquation avec les activités de l’institution financière.
Cette assurance, balisée par les normes en la matière, devrait notamment couvrir :
-
l’efficience et l’efficacité des opérations;
-
la protection des actifs;
-
la fiabilité et l’intégrité des processus de divulgation;
-
la conformité aux lois, règlements, normes, procédures et contrats;
-
l’ensemble de l’institution financière, des divisions, filiales, unités opérationnelles et fonctions.
Tel qu’il a été noté précédemment, les trois prochaines sections traitent de façon plus détaillée du contrôle interne, de la gestion des risques et de la conformité.
4. Contrôle interne
L’Autorité s’attend à ce que l’institution financière mette en place des mécanismes de contrôle interne qui répondent aux objectifs établis et qui en favorisent la réalisation.
Le contrôle interne est généralement défini comme l’ensemble des mécanismes de contrôle mis en place au sein de l’institution financière pour donner aux instances décisionnelles l’assurance raisonnableSe rapporte à l’ensemble des éléments probants dont l’auditeur a besoin pour pouvoir conclure que les états financiers pris dans leur ensemble ne contiennent pas d’anomalies significatives. quant à l’atteinte des objectifs en matière:
-
d’efficacité et d’efficience des opérations;
-
de protection des actifs;
-
de fiabilité et de transparence de l’information financière et non financière interne et externe;
-
de conformité aux lois, règlements et normes applicables.
Le contrôle interne est une composante essentielle d’une gouvernance efficace puisqu’il permet, entre autres, de détecter les déficiences fonctionnelles, lesquelles pourraient être des sources importantes de risques pour une institution financière. Par conséquent, les mécanismes de contrôle qui la composent devraient être conçus et opérés pour assurer l’efficacité des politiques et processus clés de l’institution financière aux points de vue opérationnel, technologique et financier, la fiabilité des rapports comptables et financiers et la présence de mesures adéquates pour la gestion saine et prudente de l’institution financière.
Étant donné que le contrôle interne implique le personnel en place à tous les paliers de l’institution financière, celui-ci devrait être sensibilisé à l’importance des mécanismes le composant et recevoir, à cette fin, des communications claires de la part de la haute direction. Pour ce faire, il est essentiel que l’information pertinente soit identifiée, colligée et communiquée selon un format et dans les délais qui permettent aux personnes concernées d’assumer adéquatement leurs responsabilités.
Cet exercice d’identification, de collecte et de communication d’information devrait permettre de s’assurer que les mécanismes de contrôle interne répondent adéquatement aux objectifs fixés par l’institution financière. Plus précisément, l’évaluation de l’efficacité des contrôles internes devrait notamment inclure les aspects suivants :
-
la stratégie adoptée relativement aux mécanismes de contrôle;
-
le cadre de référence utilisé en matière de contrôle;
-
l’état d’avancement de leur implantation ou mise à jour;
-
l’information sur les ressources nécessaires à son fonctionnement;
-
l’état de la situation par secteur et unité d’affaires;
-
la description des problèmes et des déficiences rencontrés.
Par ailleurs, tout en considérant la nature, la taille et la complexité des activités de l’institution financière, des mécanismes efficaces de contrôle devraient notamment couvrir les éléments suivants :
-
la ségrégation appropriée des tâches, lorsque nécessaire;
-
les politiques d’approbation des décisions et l’exactitude des signataires autorisés;
-
la présence de contrôles adaptés à chacun des niveaux appropriés de l’organisation;
-
la formation relative au contrôle interne, particulièrement pour les employés ayant d’importantes responsabilités ou engagés dans des activités à haut risque;
-
la cohérence du contrôle interne dans son ensemble et pour chacun des mécanismes individuels;
-
les vérifications et tests effectués par des parties indépendantes (auditeurs internes ou externes) quant à l’efficacité des mécanismes de contrôle en place.
En ce qui a trait au conseil d’administration, celui-ci se voit généralement accorder un rôle précis, soit de procéder à l’évaluation périodique globale des mécanismes de contrôle interne et, conséquemment, à l’approbation des changements importants qui y sont apportés. Cette évaluation permet d’assurer que le fonctionnement répond adéquatement aux objectifs fixés.
Dans le cadre de l’examen du contrôle interne, le conseil d’administration devrait, notamment fonder son évaluation sur les sources d’information suivantes :
-
les rapports de la haute direction portant en tout ou en partie sur le fonctionnement du système d’information financière de l’institution, le système de gestion des risques, la conformité ainsi que tout autre mécanisme de contrôle ou dérogation à ceux-ci;
-
les rapports en provenance des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. ;
-
les conclusions fournies par les auditeurs en regard de la suffisance des contrôles mis en place par l’institution financière ainsi que leurs recommandations;
-
le rapport de l’auditeur externe portant sur les états financiers audités et les communications de l’auditeur externe avec la haute direction;
-
les points de vue sollicités par le conseil d’administration auprès des conseillers juridiques;
-
dans le cas des assureurs, le rapport de l’actuaire sur le passif des polices ainsi que le rapport sur l’Examen de la santé financière (ESF);
-
les recommandations, observations ou opinions émises par l’autorité de réglementation de l’institution financière.
Le cas échéant, il appartient au conseil d’administration de s’assurer que la haute direction prend les mesures nécessaires en temps opportun pour corriger tout problème important décelé dans le cadre de cette évaluation et en assure un suivi approprié.
La section suivante traite de la gestion des risques, une fonction importante de la deuxième ligne de défense et l’une des bases sur laquelle l’encadrement prudentielApproche de supervision basée sur des principes plutôt que l’édiction de règles précises, favorisant ainsi, au moyen de lignes directrices, l’adoption des meilleures pratiques par les institutions financières. de l’Autorité s’appuie.
5. Fonction de gestion des risques
L’Autorité s’attend à ce que l’institution financière mette en place une fonction de gestion des risquesLa Ligne directrice sur la gestion intégrée des risquesEnsemble de pratiques et de processus s’appuyant sur une culture de risques et favorisant l’utilisation de techniques permettant d’améliorer le processus décisionnel et le rendement grâce à une vision holistique de l’ensemble des risques de l’institution financière. de l’Autorité donne davantage de précisions quant à la gouvernance de cette fonction en précisant les rôles et responsabilités du conseil d’administration, de la haute direction et du chef de la gestion des risques. qui soit soutenue par une saine gouvernance impliquant le conseil d’administration et la haute direction.
Une fonction de gestion des risques efficace au niveau de la deuxième ligne de défense est indépendante des unités d’affaires liées à la prise de risques et assure un suivi rigoureux des risques importants ainsi qu’une veille des risques émergents. Afin que l’institution financière puisse atteindre ses objectifs, la gestion des risques devrait se faire de façon intégrée et en continu, selon un processus structuré et cohérent permettant d’évaluer, de gérer et de contrôler les évènements potentiels susceptibles de constituer une menace pouvant affecter ses résultats.
Pour ce faire, soutenu par un cadre de gouvernance des risques impliquant le conseil d’administration et la haute direction, l’institution financière devrait se doter d’une gestion stratégique efficace, d’un système de gestion des opérations efficient et d’un mode d’évaluation proactif et intégré des risques.
Pour être efficace et assumer correctement son rôle au sein de la deuxième ligne de défense, la fonction de gestion des risques devrait avoir l’autorité suffisante, le positionnement hiérarchique adéquat, l’indépendance par rapport à la gestion des opérations, les ressources nécessaires et le libre accès au conseil d’administration.
La fonction de gestion des risques devrait être sous la responsabilité d’un chef de la gestion des risques ou, à défaut de l’existence d’un tel poste, d’une personne détenant un niveau d’autorité suffisant pour assurer son indépendance et disposant des pouvoirs et des ressources nécessaires, en fonction de la nature, de la taille et de la complexité de l’institution, afin d’accomplir son mandat adéquatement.
Ainsi, la mise en place d’une gouvernance efficace au sein de l’institution financière est tributaire de la contribution de divers dispositifs. Au contrôle interne et à la gestion de risque précédemment abordés s’ajoute la conformité, une des assises importantes de l’encadrement prudentielApproche de supervision basée sur des principes plutôt que l’édiction de règles précises, favorisant ainsi, au moyen de lignes directrices, l’adoption des meilleures pratiques par les institutions financières. et fonction importante de la deuxième ligne de défense.
6. Fonction de conformité
L’Autorité s’attend à ce que l’institution financière mette en place une fonction de conformitéFonction de contrôle indépendante qui a pour objectif d’identifier, évaluer et gérer le risque de non-conformité découlant du non-respect des lois, des règlements, des lignes directrices ou des règles internes à l’institution financière. La Ligne directrice sur la conformité de l’Autorité apporte davantage de détails en regard de cette fonction et précise les rôles et responsabilités du conseil d’administration et de la haute direction. chargée d’établir des politiques et des procédures de gestion de la conformité à l’égard des exigences légales, réglementaires et normatives qui couvrent l’ensemble de ses activités et d’en assurer la mise à jour périodique.
Une fonction de conformitéUne fonction de conformité n’est pas forcément une unité particulière au sein de l’institution financière. En effet, le personnel chargé de la conformité peut être impliqué dans des unités opérationnelles et rendre compte à la direction responsable de l’activité en question. Il importera toutefois que ces unités puissent, le cas échéant, rendre compte au chef de la conformité ou la personne responsable de cette fonction, lequel devrait être indépendant de la gestion des opérations. indépendante des activités qu’elle supervise est une des composantes clés de la deuxième ligne de défense de l’institution financière et une base essentielle des pratiques de gestion saine et prudentePratiques de gestion d’une institution financière visant à assurer une saine gouvernance et le respect des lois régissant ses activités, en prévoyant notamment le maintien d’actifs permettant l’exécution de ses engagements au fur et à mesure de leur exigibilité et de capitaux permettant d’assurer sa pérennité. .
La haute direction devrait mettre en œuvre un cadre de gestionEnsemble des politiques, procédures et mécanismes de contrôle visant à assurer la gestion des principales fonctions d’une organisation. de la conformité approuvé par le conseil d’administration. Ce cadre contient les principes de base permettant d’identifier, d’évaluer, de quantifier, de contrôler, d’atténuer et de faire le suivi du risque de non-conformitéRisque de non-conformité aux lois, règlements, lignes directricesDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. et normes auxquels l’institution financière est assujettie. . Ceci permet d’assurer le maintien des connaissances à l’égard des exigences réglementaires en vigueur et de veiller à ce que l’institution financière opère avec intégrité et dans le respect de ses obligations légales.
Pour être efficace et assumer correctement son rôle au sein de la deuxième ligne de défense, la fonction de conformité devrait avoir l’autorité suffisante, le positionnement hiérarchique adéquat, l’indépendance par rapport à la gestion des opérations, les ressources nécessaires et le libre accès au conseil d’administration.
La fonction de conformité devrait être sous la responsabilité d’un chef de la conformité ou, à défaut de l’existence d’un tel poste, d’une personne détenant un niveau d’autorité suffisant pour assurer son indépendance et disposant des pouvoirs et des ressources nécessaires en fonction de la nature, de la taille et de la complexité de l’institution, afin d’accomplir son mandat adéquatement.
Afin de s’assurer de l’efficacité globale des fonctions de première et deuxième lignes de défense, il est nécessaire de se doter d’une troisième ligne de défense, rôle joué par la fonction d’audit interneCette fonction assure l’évaluation systématique et indépendante de tous les processus de gestion des risques, de contrôle et de gouvernance. Elle constitue la troisième ligne de défense de l’institution financière. et objet de la prochaine section. Cette section aborde également le rôle des auditeurs externes qui constituent, à l’égard de l’information financière en particulier, un renforcement objectif et indépendant de la troisième ligne de défense.
7. Fonctions d’audit
7.1 Audit interne
L’Autorité s’attend à ce que l’institution financière mette en place une fonction d’audit interneCette fonction assure l’évaluation systématique et indépendante de tous les processus de gestion des risques, de contrôle et de gouvernance. Elle constitue la troisième ligne de défense de l’institution financière. indépendante en mesure de lui fournir une assurance objective quant à l’efficacité de la gouvernance, des processus de gestion des risques et de la conformité et des mécanismes de contrôle interne et leur adéquation avec les activités de l’institution financière.
Une fonction indépendante d’audit interne efficace et efficiente constitue la troisième ligne de défense du cadre de gouvernance dans la mesure où elle donne à l’institution financière une assurance quant au degré de maîtrise de ses opérations, lui apporte ses conseils pour renforcer leur efficacité et contribuer à créer de la valeur ajoutée.
En matière de gouvernance, l’audit interne doit évaluer la conception, l’adéquation et l’efficacité opérationnelle des processus et formuler des recommandations appropriées en vue de leur amélioration. Le but étant de fournir une assurance objective au conseil d’administration et à la haute direction que les processus sont conçus adéquatement, fonctionnent correctement et répondent notamment aux objectifs de :
-
promouvoir un comportement organisationnel éthique approprié, en cohérence avec les valeurs et la culture de l’institution;
-
garantir une gestion efficace des performances de l’organisation, assortie d’une obligation de rendre compte;
-
communiquer, aux services concernés de l’institution, l’information relative aux risques et aux contrôles;
-
fournir une information adéquate au conseil d’administration, à la haute direction, aux auditeurs externes, voire même aux auditeurs internes eux-mêmes, et assurer une coordination efficace de leurs activitésINSTITUT DES AUDITEURS INTERNES. Norme de fonctionnement 2110. .
Qui plus est, l’audit interne devrait évaluer l’efficacité et la pertinence des processus de gestion des risques et de conformité et des mécanismes de contrôle interne et encourager leur amélioration continue, y compris l’atteinte des objectifs dans ces domaines par les fonctions composant les première et deuxième lignes de défense.
Pour que l’audit interne puisse jouer efficacement son rôle de troisième ligne de défense, il devrait bénéficier d’un double rattachement hiérarchique au plus haut niveau afin d’asseoir son indépendance et conforter son objectivité au sein de l’institution financière. Selon les normes internationales pour la pratique professionnelle de l’audit interne, cette fonction doit être rattachée sur le plan fonctionnel au conseil d’administration et/ou au comité d’audit et, sur le plan administratif, à la haute directionINSTITUT DES AUDITEURS INTERNES. Norme de qualification 1100. .
Pour que l’audit interne puisse contribuer activement à l’efficacité du cadre de gouvernance de l’institution financière, certaines conditions touchant son indépendance organisationnelle dans ses relations avec le conseil d’administration et la haute direction devraient être respectées en conformité avec les normes professionnelles en la matière.
Ainsi, l’audit interne devrait:
-
communiquer de manière directe et régulière avec le conseil d’administration et/ou le comité d’audit et lui rendre compte directement;
-
rendre compte à un membre de la direction suffisamment haut placé pour promouvoir l’indépendance et assurer un large périmètre d’audit;
-
accéder aux documents, aux personnes et aux biens nécessaires à la réalisation de ses missions;
-
coordonner ses travaux avec ceux des auditeurs externes pour éviter la duplication des efforts et maximiser l’efficacité;
-
se doter des ressources nécessaires possédant les connaissances et les compétences indispensables à l’exercice de ses responsabilités;
-
effectuer son travail librement, objectivement et rendre des jugements impartiaux.
Bien que l’Autorité reconnaisse que le niveau de maturité des processus de gouvernance au sein des institutions financières, que le rôle organisationnel de la fonction d’audit interne et les qualifications des auditeurs sont tous des facteurs influençant l’activité d’audit en matière de gouvernance, la mise en place d’une fonction d’audit interne devrait figurer parmi les règles de saine gouvernance de toute institution financière.
D’une part, il est nécessaire de mentionner que dans le cas des institutions membres d’un groupe, la fonction d’audit interne pourrait déjà être présente au sein du groupe et ne pas nécessiter la création d’une fonction supplémentaire. D’autre part, lorsqu’une partie ou la totalité de la fonction d’audit interne est impartie, ou lorsque la supervision indépendante est assurée par une fonction autre que l’audit interne, il incombe tout de même au conseil d’administration d’en surveiller le rendement afin d’obtenir une assurance quant à l’indépendance et l’efficacité des processus et activités.
7.2 Auditeurs externes
Les auditeurs externes jouent un rôle vital dans le maintien de la confiance du public à l’égard de l’information financière. L’objectif de l’auditeur externe est d’obtenir l’assurance raisonnableSe rapporte à l’ensemble des éléments probants dont l’auditeur a besoin pour pouvoir conclure que les états financiers pris dans leur ensemble ne contiennent pas d’anomalies significatives. que les états financiers pris dans leur ensemble ne comportent pas d’anomalies significatives, que celles-ci résultent ou non de fraudes ou d’erreurs et, en conséquence, de pouvoir exprimer une opinion indiquant si les états financiers ont été préparés et présentés, dans tous leurs aspects significatifs, conformément aux normes d’information financière et exigences légales et réglementaires applicables.
Sur la base des meilleures pratiques en la matière, les auditeurs externes devraient :
-
faire l’objet d’une supervision et d’une évaluation de la part du comité d’audit/conseil d’administration en ce qui a trait à leur indépendance ainsi qu’à la qualité et l’efficacité de leurs travaux;
-
faire l’objet de réévaluations et de rotations périodiques (à l’égard des associés et non des cabinets) selon des critères déterminés par le comité d’audit/conseil d’administration, lesquels critères sont guidés par les normes en la matière, pour éviter que les auditeurs se retrouvent dans des situations pouvant affecter leur indépendance et leur objectivité;
-
sous réserve des pouvoirs attribués par la législation applicable aux actionnaires, être nommés, reconduits, destitués, supervisés, évalués et rémunérés à la suite d’une décision ou recommandation du comité d’audit/conseil d’administration ou lors de l’assemblée générale annuelle, le cas échéant;
-
posséder les compétences et l’intégrité nécessaires pour mener à bien leur mandat d’audit;
-
pouvoir communiquer directement avec le comité d’audit/conseil d’administration, sans la présence de la haute direction;
-
bénéficier d’un accès libre aux personnes et à l’information afin de conduire ses mandats d’audit;
-
coordonner leurs travaux avec ceux des auditeurs internes afin d’éviter la duplication des tâches et optimiser l’efficacité.
Sous réserve d’une coordination efficace, les auditeurs externes peuvent être considérés comme une ligne de défense additionnelleLes auditeurs externes, de même que les régulateurs, jouent un rôle important dans le dispositif global de gouvernance et de contrôle d’une institution financière. À cet égard, ils peuvent être considérés comme une quatrième ligne de défense (BANK FOR INTERNATIONAL SETTLEMENTS. Occasional Paper No 11. The “four lines of defense model” for financial institutions, December 2015). fournissant à la haute direction, au conseil d’administration et aux actionnaires une assurance complémentaire à celle présentée par les auditeurs internes.
8. Probité et compétence
L’Autorité s’attend à ce que les membres du conseil d’administration, les membres de la haute direction et les personnes responsables des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. soient en tout temps probes et compétents.
La nature même d’une institution financière, le rôle qu’elle joue dans l’économie et le type de risques liés à ses opérations sont autant d’éléments qui font en sorte que les membres du conseil d’administration, les membres de la haute direction et les personnes responsables des fonctions de supervision se doivent de posséder les compétences nécessaires, lesquelles sont démontrées par un niveau approprié d’expertise, de qualifications professionnelles, de connaissances ou d’expériences pertinentes pour œuvrer dans le domaine financier ainsi qu’une bonne capacité de jugement. Au-delà des compétences requises pour assurer la saine gestion d’une institution financière, la probité des membres du conseil d’administration, des membres de la haute direction et des personnes responsables des fonctions de supervision est primordiale.
La probité et la compétence des personnes ayant un pouvoir décisionnel au sein de l’institution financière constituent donc les assises d’une saine gouvernance et ne devraient pas laisser place à aucun doute raisonnable.
La probité est démontrée dans le comportement de la personne et dans la conduite de ses affaires, tant personnelles que professionnelles alors que la compétence l’est par un niveau approprié d’expertise, de qualifications professionnelles, de connaissance ou d’expérience pertinente du domaine financier. À ce chapitre, il importe de préciser que dans le cas du conseil d’administration, le niveau approprié de compétence peut être atteint de façon collective, c’est-à-dire par la complémentarité des attributs propres à chacune des personnes qui y siègent.
8.1 Politique d’évaluation
L’institution financière devrait être dotée d’une politique d’évaluation, de critères de probité et compétence, ainsi que de procédures d’évaluation des personnes visées par cette attente. Cette politique d’évaluation devrait être appliquée au moment de la nomination, ainsi que sur une base périodique afin de s’assurer du maintien d’un niveau approprié de probité et de compétence en tout temps, selon les critères déterminés.
L’institution financière devrait également se doter de contrôles afin de s’assurer que l’application et le choix des critères établis soient alignés sur les meilleures pratiques en la matière. L’institution financière devrait aussi prendre les mesures nécessaires afin de procéder, à intervalle régulier, à la réévaluation des critères et, au besoin, y apporter des ajustements.
Au-delà de la responsabilité expressément dévolue au conseil d’administration d’approuver la politique d’évaluation des critères de probité et de compétence, le conseil ou l’un de ses comitésDans le cadre de la présente, un comité du conseil formé à des fins d’évaluation de la probité et des compétences pourrait également procéder à ladite évaluation sur la base de la politique établie. se voit attribuer des responsabilités particulières.
Ainsi, le conseil d’administration devrait déterminer si les personnes visées par la politique d’évaluation ont la probité et la compétence demandées pour occuper les postes visés au sein de l’institution. Bien que les membres du conseil d’administration soient requis de procéder à leur autoévaluation en cette matière, l’Autorité s’attend à ce que ces personnes s’assurent qu’il y ait en place des mesures leur permettant d’assurer l’indépendance de leur jugement dans l’exercice de cette fonction.
Le conseil d’administration devrait aussi être au fait des préoccupations soulevées par les résultats de l’évaluation des personnes visées quant à leur probité et leur compétence. S’il s’avérait qu’une de ces personnes occupe ses fonctions malgré certains constats défavorables lors de son évaluation, le conseil d’administration devrait s’assurer que des mesures adéquates et des contrôles soient mis en place afin de mitiger les risques potentiels découlant de cette évaluation. Les mesures prises devraient être proportionnelles à la gravité de la non-conformité aux critères établis.
Enfin, l’institution financière pourrait décider de confier partiellement ou entièrement l’évaluation des critères de probité et de compétence des candidats visés à des entités distinctes au sein même de l’institution ou du groupe auquel elle fait partie. Elle pourrait également impartir partiellement ou entièrement cette évaluation à une firme externe. Suivant cette possibilité, il importera que le contrat établi à cette fin réponde aux principes énoncés dans la Ligne directrice sur la gestion des risques liés à l’impartitionAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion des risques liés à l’impartition. .
8.2 Critères d’évaluation
Les critères d’évaluation ou les indicateurs de probité et de compétence qui seront développés pourraient porter notamment sur des aspects tels que ceux mentionnés ci-après.
Par ailleurs, sur la base de ces critères ou de tout autre qui seront développés, il appartiendra à l’institution d’adapter son jugement en fonction par exemple du temps écoulé depuis l’irrégularité décelée, de même qu’en fonction de sa gravité. La conduite et le comportement des personnes postérieurement à l’irrégularité décelée devraient également être considérés.
- Critères ou indicateurs relatifs à la criminalité
Les membres des instances décisionnelles ne devraient pas avoir de dossier ou de preuve déclarant des conduites inappropriées antérieurement à leur embauche pouvant avoir un impact sur leurs responsabilités, par exemple, des dossiers où ces personnes ont été déclarés coupables d’une infraction criminelle, de malhonnêteté, de détournement d’actifs ou de fonds, de fraudes ou d’autres infractions pénales, incluant le recyclage des produits de la criminalité et le financement du terrorisme.
- Critères ou indicateurs de nature financière
Les membres des instances décisionnelles ne devraient pas avoir eu une conduite irrégulière ou reprochable aux termes de leur situation financière ou celle d’une entité qui les embauchait auparavant. Des indicateurs tels que les difficultés financières conduisant à une procédure judiciaire, la faillite ou des difficultés financières ainsi que des procédures d’insolvabilité dans, ou à l’égard d’une entité dans laquelle les personnes membres des instances décisionnelles qui ont posé des gestes ou exercé des fonctions qui ont pu mener à ces événements, pourraient être considérées comme des indicateurs significatifs dans le cadre de la politique d’évaluation.
- Critères ou indicateurs de nature prudentielle
Les membres des instances décisionnelles ne devraient pas avoir fait l’objet d’une déclaration de non-compétence ou d’improbité par une autre autorité de réglementation à l’exercice de fonctions similaires à celle pour laquelle ils font l’objet d’une évaluation. Les réserves émises par d’autres autorités pourraient par exemple porter sur la rétention d’informations, la soumission de données ou d’états financiers incorrects ou falsifiés, ou encore, le fait qu’une personne ait préalablement fait l’objet de mesures correctrices en regard d’un poste équivalent ou d’interventions de la part d’une autorité publique.
- Critères ou indicateurs relatifs à l’évaluation de la compétence
Les membres des instances décisionnelles devraient disposer d’un niveau approprié d’expertise, de qualifications professionnelles, de connaissance ou d’expérience pertinente pour œuvrer dans le domaine financier. L’institution devrait avoir une bonne connaissance de ces attributs propres aux membres des instances décisionnelles actuels et déterminer les lacunes que doivent combler les futurs administrateurs, hauts dirigeants et responsables des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. .
Une grille d’aptitudes et de connaissances pourrait être établie afin de soutenir la planification des activités de perfectionnement de ses membres actuels. À titre d’exemple, cette grille pourrait contenir des critères tels que l’expérience en matière opérationnelle, la compétence fonctionnelle; une connaissance des activités de l’institution; des habiletés interpersonnelles; des aptitudes de travail d’équipe; la disponibilité; la motivation et la diversité. Enfin, il serait pertinent que les différents attributs identifiés par l’institution soient classés par ordre d’importance en fonction des besoins de l’institution et des lacunes décelées chez les membres des instances décisionnelles actuels.
- Autres critères ou indicateurs
L’institution pourrait considérer d’autres critères comme un jugement final défavorable rendu contre une personne dans un litige l’opposant à un employeur précédent relativement à une réalisation non adéquate de ses responsabilités ou le défaut de se conformer aux politiques internes, y compris les codes de conduite ou de déontologie, la non-conformité ayant conduit au licenciement de la personne ou à l’imposition de pénalités ou de mesures disciplinaires par exemple en provenance des associations professionnelles.
8.3 Processus décisionnel
L’institution financière devrait mettre en place un processus décisionnel sur lequel elle pourra s’appuyer advenant le cas où les résultats de l’évaluation s’avèreraient défavorables. En conséquence, l’institution devrait établir lorsque surgit un tel cas, le type de renseignements à obtenir pour poursuivre l’analyse du dossier.
Un constat défavorable au sujet d’une personne n’impliquerait pas nécessairement que celui-ci n’ait pas la qualification requise pour que lui soit attribué un autre poste au sein de l’institution financière. L’institution devra analyser chaque cas individuellement selon les besoins de l’institution et ses niveaux de tolérance aux risques. Il importe sur ce point de mentionner que les constats défavorables pourraient être tolérables dans la mesure où des éléments palliatifs sont mis en œuvre, en ce qui a trait au volet « compétence » de l’évaluation.
Toutefois, lorsqu’un manque au niveau de la probité d’une personne est décelé, par exemple dans les cas de fraudes ou de recyclage des produits de la criminalité, ces constats devraient faire en sorte que ces personnes soient jugées inaptes indépendamment du poste de responsabilité visé.
L’Autorité s’attend donc à ce que les personnes qui ne font pas preuve de probité ou qui ne disposent pas de la compétence requise pour assumer les fonctions pour lesquelles elles étaient pressenties ne puissent être nommées dans l’exercice de ces fonctions.
8.4 Notification à l’Autorité
L’Autorité s’attend à ce que l’institution financière lui notifie les changements au sein des membres des instances décisionnelles et de la fonction occupée par chacun. L’institution financièere devrait de même notifier l’Autorité pour cause de non-respect des critères de probité d’un ou des membres des instances décisionnelles.
Des circonstances ou évènements peuvent faire en sorte qu’une personne répondant correctement aux critères de probité et de compétence ne puisse occuper ses fonctions de façon temporaire ou permanente. Dans ces circonstances, l’Autorité s’attend à ce que la personne visée soit remplacée dans un délai raisonnable, par une autre qui satisfait aux critères de probité et de compétence déterminés par la politique d’évaluation.
Dans certaines situations, il est probable que la nouvelle ressource sélectionnée en remplacement ne dispose pas de la totalité des compétences permettant de satisfaire aux critères de la politique d’évaluation. Dans ce cas, il appartiendra à l’institution de faire en sorte que cette nouvelle ressource puisse, dans un temps raisonnable, répondre aux critères établis.
L’institution pourrait par exemple fournir une formation additionnelle, du mentorat ou avoir recours à des ressources externes de façon à atteindre, dans les meilleurs délais, la conformité aux critères déterminés dans sa politique d’évaluation. De façon analogue, des mesures de contrôle ou de suivi pourraient être accentuées ou des ressources supplémentaires pourraient être mises en poste de façon temporaire, afin de permettre à la personne nouvellement nommée d’acquérir les compétences nécessaires pour répondre aux critères de compétence déterminés par l’institution.
9. Politique de rémunération
L’Autorité s’attend à ce que l’institution financière mette en œuvre des pratiques de rémunération qui n’induisent pas une prise de risques excessive ou inappropriée et qui tiennent compte des intérêts à long terme de l’institution et des parties intéressées.
De saines pratiques de rémunération font partie intégrante de la bonne gouvernance de toute institution financière. L’adoption et la mise en œuvre d’une politique de rémunération ne vise pas à restreindre indûment ni à réduire la capacité d’attirer et de retenir les personnes qualifiées en prescrivant une forme particulière ou un niveau de rémunération. En considérant la rémunération comme un élément faisant partie d’une gestion efficace des risques, l’Autorité vise plutôt à promouvoir l’adoption par l’institution financière d’une politique de rémunération qui tient compte de son appétit pour le risqueNiveau global et type de risque qu’une institution financière est prête à prendre pour réaliser son plan d’affaire et rencontrer ses objectifs stratégiques. et de ses intérêts à long terme afin d’éviter une prise de risques excessive.
Il est de la responsabilité du conseil d’administration de s’assurer que la politique de rémunération soit suffisamment englobante pour s’appliquer aux membres du conseil et de la haute direction, aux personnes responsables des fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. et aux employés jouant un rôle clé dans la prise de risques.
Le conseil d’administration devrait posséder les compétences nécessaires pour prendre des décisions éclairées quant à la pertinence de la politique de rémunération. Ces compétences, que ce soit par le biais d’un comité de rémunération ou non, nécessitent, d’une part, une compréhension suffisante du lien entre la prise de risques et la rémunération et, d’autre part, la participation de personnes ne faisant pas partie de la haute direction de façon à promouvoir l’objectivité du processus décisionnel.
Ainsi, le conseil d’administration devrait être satisfait de la cohérence globale de la politique de rémunération de l’institution avec son appétit pour le risque, ses niveaux de tolérance aux risques et ses intérêts à long terme. À cette fin, une attention particulière devrait être accordée à certains éléments, tels que :
-
la proportion des composantes fixes et variables;
-
l’utilisation de critères de performance;
-
la structure de la rémunération des employés clés impliqués dans la prise de risques;
-
la rémunération individuelle des membres du conseil et de la haute direction.
De plus, le conseil d’administration devrait s’assurer que les personnes impliquées dans l’établissement de la politique de rémunération interagissent étroitement avec les responsables de la gestion des risques afin de promouvoir l’alignement des risques avec la rémunération variable dans toute l’organisation.
Toutefois, afin de préserver l’intégrité et l’objectivité du personnel impliqué dans les fonctions de supervision et atténuer le risque potentiel de conflit d’intérêts, la rémunération de ces personnes devrait :
-
être principalement basée sur la réalisation effective des objectifs appropriés à leur fonction de supervision;
-
le cas échéant, ne pas être liée à la performance des unités d’affaires soumises à leur supervision mais davantage à la performance globale de l’institution;
-
être globalement adéquate et suffisamment intéressante pour attirer et retenir des individus ayant les compétences, connaissances et expertises requises pour exercer leur fonction;
-
si cette fonction est impartieAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion des risques liés à l’impartition., qu’elle soit compatible avec les objectifs et les paramètres de la politique de rémunération existante.
Enfin, lorsque des éléments de rémunération variable sont présents, ceux-ci devraient être établis en utilisant des mesures de performance qui considèrent la création de valeur à long terme et l’horizon temporel des risques auxquels l’institution peut être exposée tout en évitant de créer des incitatifsDans son sens large, il peut inclure les bonis, commissions, salaires, primes, honoraires présents dans les programmes de rémunération, ainsi que les autres avantages pouvant être obtenus par des concours, promotions, privilèges ou cadeaux. pouvant mener à une prise de risque inappropriée. À cette fin, les critères de performance applicables aux éléments variables de la rémunération devraient :
-
être clairement définis et mesurables objectivement;
-
être fondés sur des critères financiers et non financiers, selon les cas;
-
prendre en compte non seulement la performance de l’individu, mais également celle de l’unité d’affaires, le cas échéant, et les résultats globaux de l’institution financière;
-
n’utiliser la croissance ou le volume en tant que critères que s’ils sont jumelés à d’autres critères de performance.
En définitive, pour être efficace et prévenir les conflits d’intérêts, une politique de rémunération devrait être établie en fonction de critères objectifs et possiblement différents selon les personnes directement visées et renforcée par une supervision objective de son application.
10. Divulgation et transparence
L’Autorité s’attend à ce que l’institution financière divulgue les principaux aspects de son cadre de gouvernance et soit suffisamment transparente envers toutes les parties intéressées en considération de la nature de leurs activités.
La divulgation visée devrait permettre aux parties intéressées d’apprécier la structure de gouvernance de l’institution financière. Le véhicule utilisé pour ce faire importe peu, la transparence demeure le critère essentiel d’une divulgation satisfaisante. L’institution pourrait utiliser son rapport annuel, son site Web ou tout autre support dans la mesure où cette communication est effectuée efficacement et en temps opportun, permettant ainsi un jugement éclairé de la part des parties intéressées quant à la capacité du conseil d’administration et de la haute direction à gouverner l’institution financière.
Pour assurer cette transparence, sous réserve d’information de nature commercialement sensible et des obligations de confidentialité applicables, la stratégie de communication de l’institution financière devrait inclure l’information pertinente et utile à la compréhension des éléments clés de la gouvernance de l’institution. Par conséquent, la divulgation d’informations officielles telles que la situation financière, la performance et la structure de l’institution devraient être prises en compte. De plus, tout événement ou autre information d’importance significative pouvant affecter une ou plusieurs parties intéressées devrait également être divulguée promptement, à l’intérieur des délais prescrits par les exigences réglementaires, le cas échéant.
En règle générale, la divulgation d’information devrait être suffisamment complète et détaillée pour que les parties intéressées soient en mesure de se faire une opinion claire sur la performance de l’institution en lien avec sa capacité à exercer une saine gouvernance. Par conséquent, à titre de bonnes pratiques, la divulgation devrait notamment inclure des éléments tels que l’information sur les objectifs stratégiques, la structure organisationnelle, la qualification et la diversité des membres du conseil d’administration, la politique de rémunération, l’actionnariat et les droits de vote, les principales affiliations et alliances ainsi que les transactions importantes entre parties liées.
De plus, afin de répondre à la volonté de transparence, la divulgation pourrait également porter sur certains éléments tels que les critères d’indépendance retenus et appliqués pour les principaux postes de responsabilité, les règles de conflits d’intérêts, les systèmes de gestion des risques, le contrôle interne et la mention d’événements survenus au cours de la période de référence.
Enfin, dans l’exercice de sa fonction de surveillance, l’Autorité pourrait chercher à obtenir des informations additionnelles pouvant inclure des éléments sensibles, tels que l’évaluation par le conseil d’administration du cadre de gouvernance, les rapports d’audit interne et des détails sur la structure de rémunération, particulièrement en lien avec la prise de risque.