Ligne directrice sur la gestion des risques liés à l’impartition
- Introduction
- 1. Risques liés aux activités d’impartition
- 2. Facteurs déterminant l’importance relative
- 3. Gestion saine et prudente des risques liés à l’impartition
- 4. Gouvernance des ententes d’impartition
- 5. Gestion des risques liés à l’impartition
- Annexe 1 : Exemples d’ententes d’impartition
- Annexe 2 : Exemples d’évaluation du projet d’impartition
- Annexe 3 : Exemples de vérification de la capacité du fournisseur de services
- Annexe 4 : Exemples de méthodologie d’évaluation de l’exposition aux risques liés à l’impartition
Avril 2009
Introduction
Les institutions financières recourent à l’impartition pour accroître leur efficacité et leur compétitivité en confiant certaines activités à des fournisseurs de services disposant de ressources additionnelles et d’une expertise de pointe. Ainsi, pour certaines institutions financières, l’impartition peut permettre la réduction des coûts alors que pour d’autres, elle peut permettre de concentrer davantage les ressources au niveau des activités principales. Toutefois, aux nombreux avantages que peut offrir le recours à l’impartition, sont associés des risques pour la santé financière, la qualité des services de l’institution financière et ultimement pour sa réputation. Les institutions financières peuvent faire face dans certains cas à des coûts additionnels non prévus dans l’entente d’impartition. Elles peuvent également être confrontées à une performance insatisfaisante du fournisseur de services.
À cet effet, l’Autorité des marchés financiers (l’« Autorité ») signifie ses attentes à l’égard des saines pratiques de gestion des risques liés à l’impartition par le biais de la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. . Les diverses lois sectorielles appliquées par l’Autorité habilitentLoi sur les assureurs, RLRQ, c. A-32.1, article 463; Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. , RLRQ, c. C-67.3, article 565.1; Loi sur les institutions de dépôts et la protection des dépôts, RLRQ, c. I-13.2.2, article 42.2; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, article 254. cette dernière à donner des lignes directrices aux institutions financières pouvant porter sur toute pratique de gestion saine et prudente.
Les attentes de l’Autorité en regard de la gestion des risques liés à l’impartition s’inspirent des principes fondamentaux et des orientations issus des organismes internationaux. En effet, les saines pratiques pour la gestion et la surveillance du risque opérationnel publiées par le Comité de Bâle sur le contrôle bancaire identifient les risques liés à l’impartition parmi les risques nouveaux et croissants qui menacent les institutions financièresCOMITÉ DE BÂLE SUR LE CONTRÔLE BANCAIRE, BANQUE DES RÈGLEMENTS INTERNATIONAUX. Saines pratiques pour la gestion et la surveillance du risque opérationnel, février 2003. .
Ces saines pratiques incitent les institutions financières à considérer les risques liés à l’impartition comme une source importante de risque opérationnel et, conséquemment, à les intégrer dans la politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. globale de gestion des risques. De même, les principes directeurs en matière d’assurance de l’Association internationale des contrôleurs d’assurance (AICA) présentent la communication de l’information sur les ententes d’impartition comme essentielleASSOCIATION INTERNATIONALE DES CONTRÔLEURS D’ASSURANCE. Principes de base en matière d’assurance et méthodologie, octobre 2003. . La gestion des risques liés à l’impartition s’inscrit également en regard de l’observance des principes directeurs instaurés par le « Joint Forum »BASEL COMMITTEE ON BANKING SUPERVISION. Joint Forum, Outsourcing in Financial Services, February 2005. .
1. Risques liés aux activités d’impartition
Les principes de saine gestion des risques liés à l’impartition proposés par la présente ligne directrice s’appliquent aux ententes d’impartition importantesEntente d’impartition susceptible d’avoir un impact significatif sur la situation financière de l’institution, ses opérations et ultimement sa réputation. . À cet effet, est considérée comme importante, toute entente d’impartition susceptible d’avoir un impact significatif sur la situation financière de l’institution, ses opérations et ultimement sa réputation. Le caractère d’importance de toute entente d’impartition devrait être évalué sur la base des facteurs présentés à la section 2 de la ligne directrice.
L’impartition se définit comme étant une délégation à un fournisseur de services, sur une période définie, de l’exécution et de la gestion d’une fonction, d’une activité ou d’un processus, dont l’institution financière s’acquitte ou pourrait s’acquitter elle-même.Les obligations qui incombent à une institution financière autorisée en vertu des différentes lois sectorielles demeurent inchangées du seul fait qu’elle confie à un tiers l’exercice d’une partie de ceux-ci: Loi sur les assureurs, RLRQ, c. A-32.1, article 45; Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. , RLRQ, c. C-67.3, article 29; Loi sur les institutions de dépôts et la protection des dépôts, RLRQ, c. I-13.2.2, article 28.6; Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.02, article 6.14. Il englobe la notion d’externalisationDélégation d’une activité et sa gestion à un fournisseur de services externe. L’externalisation est la délégation d’une activité et sa gestion, à un fournisseur de services externe. Trois éléments essentiels caractérisent l’externalisation : • Le fournisseur de services n’est pas un membre du groupe de l’institution (fournisseur de services externe); • l’activité externalisée s’accompagne fréquemment d’un transfert d’actifs pour la durée de l’entente; • la relation entre l’institution financière qui recourt à l’impartition et le fournisseur de services est d’une durée de moyen à long terme. en couvrant un éventail plus large de relations de délégation.
Un fournisseur de services est une entité qui offre, moyennant contrepartie, un service d’impartition à l’institution financière. Le fournisseur de services peut être un membre du groupement à l’égard duquel l’institution financière est la détentrice du contrôle ou de celui qui est le détenteur du contrôle. Dans ce cadre, sont considérées comme membres l’institution financière », ses filiales, l’entité qui contrôle directement ou indirectement l’institution financière, ainsi que les filiales de cette entité.
Les services rendus entre les entités d’un « réseau », défini aux fins de la présente comme étant constitué de caisses, d’une fédération dont elles sont membres, d’un fonds de garantie et d’une coopérative de services financiers dont le rôle est d’agir à titre de trésorier, ne sont pas considérés comme des activités d’impartition au sens de la ligne directrice. Il en est de même pour les services rendus par une fédération et un fonds de garantie aux sociétés mutuelles d’assurance dont elles sont membres.
Enfin, pour les fins d’application de la ligne directrice et à moins d’une disposition législative spécifique indiquant le contraire, toute entente d’impartition conclue avec un fournisseur de services opérant à l’extérieur du Canada est considérée comme étant de la délocalisation.
2. Facteurs déterminant l’importance relative
L’Autorité s’attend à ce que l’institution financière identifie les facteurs qui déterminent l’importance relative et qui seront utilisés pour l’évaluation des ententes d’impartition, en fonction de la nature et de l’importance de ses activités ainsi que de son profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. .
L’institution financière devrait évaluer l’importance des ententes d’impartition dont elle dispose pour déterminer celles qualifiées d’importantes et auxquelles s’applique la présente ligne directrice. Cette évaluation peut s’appuyer sur les facteurs d’importance relative suivants :
- impacts d’une défaillance de l’activité impartie sur la situation financière, le fonctionnement ou la réputation de l’institution financière;
- coûts de l’entente d’impartition par rapport au total des coûts assumés par l’institution;
- ampleur de l’activité impartie, par exemple, en termes de contribution aux revenus et aux profits;
- degré de difficulté ainsi que le temps nécessaire pour remplacer le fournisseur de services ou rapatrier l’activité impartie au sein de l’institution financière;
- capacité de l’institution à se conformer aux exigences réglementaires lorsqu’elle fait face à des problèmes en lien avec l’activité impartie;
- risque de concentration lorsque l’institution financière impartit plusieurs de ses activités auprès d’un même fournisseur de services.
Il importe de préciser que l’institution financière devrait considérer les ententes d’impartition, intégrales ou quasi intégrales, portant sur les fonctions de supervisionFonctions de contrôle indépendantes de la gestion quotidiennes des opérations de l’institution financière, notamment la gestion des risques, la conformité et le cas échéant, l’actuariat. Ces fonctions font partie de la deuxième ligne de défense. comme étant importantes, donc sujettes aux dispositions de la présente ligne directrice. Par fonction de supervision, sont visées :
- l’analyse financière;
- la conformité;
- l’audit interne;
- la gestion des risques.
Par ailleurs, l’institution financière devrait porter une attention particulière aux ententes d’impartition couvrant les activités principales qui ont un impact important sur la situation financière de l’institution, ses opérations et ultimement sa réputation.
Dans la même perspective, l’institution financière devrait porter une attention particulière aux ententes d’impartition conclues avec un fournisseur de services opérant à l’extérieur du Canada.
L’institution financière devrait réévaluer l’importance de ses ententes d’impartition périodiquement ou à la suite d’une renégociation ou d’un renouvellement de celles-ci.
De son côté, l’Autorité pourrait amener l’institution financière à considérer une entente comme étant importante compte tenu de sa vision globale dans le cadre des travaux de surveillance. À titre d’exemple, si l’Autorité considère qu’un risque systémiqueUn risque financier qualifié de systémique implique qu'il existe une probabilité non négligeable de dysfonctionnement majeur ou de grave dégradation du système financier pouvant ultimement conduire à un effondrement de l’économie mondiale. pourrait survenir à la suite du recours de plusieurs institutions financières à l’impartition auprès d’un même fournisseur de services (fournisseur de services commun à l’industrie), elle pourrait demander à l’institution financière de considérer ces ententes comme importantes.
3. Gestion saine et prudente des risques liés à l’impartition
L’Autorité considère que les institutions financières demeurent responsables de la conformité de leurs ententes d’impartition aux exigences légales et réglementaires applicables aux activités imparties, même si l’exécution et la gestion de ces activités sont assurées par des fournisseurs de services.
Ainsi, l’Autorité s’attend à ce que l’institution financière se dote d’une politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. et de procéduresUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. pour gérer et superviser l’ensemble de ses ententes d’impartition et les risques qui leur sont inhérents. Les principes de saine gestion des risques liés aux activités d’impartition proposés par l’Autorité s’appliquent aux ententes importantes. Ces principes ont pour objectif d’atténuer l’exposition aux risques des institutions financières. Ils s’organisent autour de trois axes majeurs.
3.1 Gouvernance des ententes d’impartition
L’institution financière devrait prévoir les structures de gouvernance nécessaires pour la gestion et la supervision des risques liés à ses activités d’impartition.
3.2 Gestion des activités d’impartition
Avant de s’engager dans une entente d’impartition, l’institution financière devrait évaluer l’opportunité d’impartir et vérifier la capacité du fournisseur de services. Toute entente conclue doit être documentée et prévoir notamment les modalités de suivi et de contrôle.
3.3 Gestion des risques liés à l’impartition
L’institution financière devrait disposer d’une politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. et de procéduresUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. de gestion des risques liés aux activités d’impartition. La politique et les procédures devraient notamment permettre d’identifier, de mesurer, d’atténuer et de contrôler ces risques. L’institution financière devrait s’assurer de la continuité des activités imparties.
4. Gouvernance des ententes d’impartition
Principe 1 : Responsabilités du conseil d’administrationGroupe de personnes élues ou nommées qui est ultimement responsable de la gouvernance et de la supervision d’une institution financière. et de la haute directionGroupe de personnes chargés de la gestion quotidienne d’une institution financière selon les stratégies et les politiques établies par le conseil d’administration.
L’Autorité considère que la gestion des risques liés à l’impartition, leur suivi et leur contrôle devraient être soutenus par une structure de gouvernance fiable.
Les responsabilités de gestion et de supervision des risques liés à l’impartition de l’institution financière relèvent ultimement du conseil d’administrationLorsqu’il est fait mention du conseil d’administration, il peut s’agir d’un comité de ce dernier formé par exemple, à des fins d’examen de points particuliers. et de la haute direction.
La ligne directrice sur la gouvernanceAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gouvernance. propose des principes en matière de saine gestion que l’institution financière devrait considérer en regard des risques liés à l’impartition.
L’Autorité s’attend à ce que les rôles et les responsabilités de la gestion de ces risques soient définis, documentés et intégrés dans la stratégie globale de gestion des risquesAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion intégrée des risquesEnsemble de pratiques et de processus s’appuyant sur une culture de risques et favorisant l’utilisation de techniques permettant d’améliorer le processus décisionnel et le rendement grâce à une vision holistique de l’ensemble des risques de l’institution financière. . de l’institution financière.
Dans le cadre précis de la gestion des risques liés à l’impartition, le conseil d’administration et la haute direction se voient notamment attribuer les responsabilités suivantes :
- le conseil d’administration devrait établir les niveaux d’autorisation appropriés pour le recours à l’impartition, selon l’importance des ententes et la nature des risques qu’elles peuvent représenter;
- la haute direction devrait approuver les facteurs déterminants de l’importance relative et désigner des responsables pour évaluer l’importance des ententes d’impartition de l’institution financière.
Le nombre de responsables désignés devrait être fonction de la taille de l’institution financière et de l’importance des activités à impartir. Ainsi, dans certains cas, la désignation d’un seul responsable d’impartition pourrait être suffisante. Toutefois, il pourrait ne pas être nécessaire de désigner un responsable lorsque les lois prévoient des structures ou des comités qui peuvent prendre en charge cette responsabilité.
Principe 2 : Évaluation de l’opportunité d’impartir
L’Autorité s’attend à ce que l’institution financière effectue, au préalable, une évaluation de l’opportunité d’impartir pour délimiter l’étendue des risques.
Les raisons motivant le recours à l’impartition et l’orientation stratégique dans laquelle cette option s’inscrit devraient être définies clairement dès le début du projet.
L’évaluation de l’opportunité du recours à l’impartition devrait être la plus exhaustive possible. Cette évaluation devrait permettre de cerner l’activité à impartir et de déterminer la portée de la décisionVoir l’Annexe 2. .
Il est également impératif à ce stade d’identifier les risques potentiels qui seront engendrés par le recours à l’impartition et de les évaluerVoir les principes 7 et 8. .
Cette évaluation devrait être colligée dans un rapport écrit qui sera soumis à la haute direction. Cette dernière devrait s’assurer que toutes les autorisations requises ont été obtenues.
Principe 3 : Vérification de la capacité du fournisseur de services
L’Autorité s’attend à ce que l’institution financière vérifie les aspects financiers, opérationnels et de réputation, démontrant la capacité du fournisseur de services à assurer un service de qualité.
Avant de conclure une entente, des vérifications de la capacité du fournisseur de services devraient être menées de façon exhaustive sur la base d’une information récenteVoir l’Annexe 3. . L’institution financière pourrait s’appuyer sur une évaluation récente de la capacité du fournisseur de services, effectuée par un membre de son groupe. En outre, ces vérifications devraient être documentées.
Sur une base périodique, la capacité du fournisseur de services devrait être révisée comme faisant partie intégrante de l’évaluation de sa performance. Toutefois, l’ampleur de cette vérification pourrait être modulée en fonction des risques que représente le fournisseur.
La vérification de la capacité du fournisseur de services devrait également être actualisée lors du renouvellement et de la renégociation d’une entente d’impartition.
Si l’institution financière envisage de recourir à la délocalisation, la vérification de la capacité du fournisseur de services devrait prendre en considération les contextes politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. , économique et social du pays où l’activité est délocalisée.
Principe 4 : Documentation de l’entente d’impartition
L’Autorité s’attend à ce que l’institution financière documente ses ententes d’impartition au moyen d’un contrat de services écrit comprenant les conditions gouvernant les relations, fonctions, obligations et responsabilités des parties au contrat.
Le niveau de détail du contrat de services dépend de la nature et de l’importance de l’entente d’impartition. Toutefois, le contrat d’impartition devrait inclure les stratégies d’atténuation de l’exposition aux risques adoptées par l’institution financière et impliquant le fournisseur de services. De plus, dans le cas où le fournisseur de services recourt lui-même à l’impartition, l’institution financière devrait s’assurer que le contrat d’impartition identifie les responsabilités du fournisseur de services à cet égard.
Afin de faciliter l’accès aux renseignements et aux documents, il y aurait lieu d’inclure, dans le contrat d’impartition, une clause qui permet à l’institution financière de demander au fournisseur de services de l’information supplémentaire sur l’entente d’impartition.
Principe 5 : Suivi des ententes d’impartition
L’Autorité s’attend à ce que l’institution financière assure le suivi de ses ententes d’impartition, en gérant adéquatement les relations avec ses fournisseurs de services afin de s’assurer qu’ils respectent pleinement leurs engagements selon les conditions du contrat.
Le suivi des ententes d’impartition devrait notamment permettre de :
- maintenir à jour une liste centralisée des ententes d’impartition importantes. Toutefois, les saines pratiques en matière d’impartition privilégient la tenue d’une liste complète des ententes d’impartition (importantes et de moindre importance);
- évaluer périodiquement la performance des fournisseurs de services. Les indicateurs de performance, qualitatifs et quantitatifs, devraient être définis de façon précise par le contrat d’impartition (explication de l’indicateur, la méthode de calcul et la fréquence de communication);
- évaluer périodiquement la capacité financière et opérationnelle du fournisseur de servicesVoir l’Annexe 3. ;
- collaborer avec les fournisseurs de services (p.ex. : réunions fréquentes) pour s’assurer que le niveau de performance est atteint;
- faire le suivi de la réalisation des objectifs de l’entente d’impartition que l’institution financière s’est fixés (p.ex. : réduction des coûts);
- s’assurer que les risques liés aux ententes d’impartition de l’institution financière ne compromettent ni ses capacités à honorer ses engagements vis-à-vis des clients, ni sa conformité aux lois et règlements.
Principe 6 : Ententes d’impartition importantes intragroupe
L’Autorité s’attend à ce que l’institution financière gère adéquatement les risques liés aux ententes d’impartition importantesEntente d’impartition susceptible d’avoir un impact significatif sur la situation financière de l’institution, ses opérations et ultimement sa réputation. conclues avec les membres de son groupe.
Les principes proposés par la ligne directrice s’appliquent également aux ententes d’impartition conclues avec les membres du même groupe que l’institution financièreLes services rendus entre les entités d’un « réseau », défini aux fins de la présente comme étant constitué de caisses, d’une fédération dont elles sont membres, d’un fonds de garantie et d’une coopérative de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. dont le rôle est d’agir à titre de trésorier, ne sont pas considérés comme des activités d’impartition au sens de la ligne directrice. Il en est de même pour les services rendus par une fédération et un fonds de garantie aux sociétés mutuelles d’assurance dont elles sont membres. . La gestion des risques liés à ces ententes peut toutefois être couverte par une politique et des procéduresUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. mises en place au niveau du groupe. Dans ce cas, l’institution financière devrait s’assurer que cette politique et ces procédures couvrent adéquatement les risques auxquels l’exposent ces ententes.
Ainsi, lorsque l’institution financière conclut des ententes d’impartition importantes avec des membres de son groupe, l’Autorité s’attend à ce que l’institution financière :
- documente ses ententes d’impartition afin de préciser leur portée et les responsabilités des fournisseurs de services (des membres de son groupe, dans ce cas);
- vérifie la capacité du fournisseur de services à assurer un service de qualité. Cette vérification pourrait toutefois être plus sommaire que celle requise pour un fournisseur de services externe;
- s’assure que les ententes d’impartition conclues avec les membres de son groupe ne compromettent pas sa capacité à honorer ses engagements et sa conformité aux lois et règlements;
- mette en place un plan de continuité des activités.
L’Autorité pourrait avoir d’autres attentes à l’égard de certaines ententes d’impartition intragroupe découlant des constats de ses travaux de surveillance.
5. Gestion des risques liés à l’impartition
Principe 7 : Identification et évaluation des risques générés par l’impartition
L’Autorité s’attend à ce que l’institution financière cerne et identifie les différents risques liés à ses ententes d’impartition afin d’être en mesure de les évaluer et de les gérer adéquatement.
Le recours à l’impartition peut générer non seulement des risques financiers, mais aussi des risques stratégiques, opérationnels, juridiques, de réputation et de concentration que l’institution financière doit être apte à identifier.
L’Autorité s’attend à ce que l’institution financière développe une méthodologie d’évaluation de l’exposition aux risques adaptée à la nature de ses ententes d’impartition, à sa taille et à son profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. . L’institution financière devrait ainsi procéder à l’évaluation de son exposition aux risques liés à ses ententes d’impartition. Cette évaluation devrait permettre de cerner l’exposition aux risques de chacune des ententes d’impartition et de déterminer l’exposition globale des activités d’impartition de l’institution financière. L’évaluation devrait être réalisée de façon périodiqueVoir l’Annexe 4. .
L’évaluation de l’exposition aux risques liés à l’impartition devrait constituer un élément de base à la prise de décision quant au choix de recourir ou non à l’impartition. Cette évaluation devrait servir également à la révision des termes du contrat lors du renouvellement ou la prolongation des ententes.
Principe 8 : Gestion de la continuité des activités
L’Autorité s’attend à ce que l’institution financière s’assure que sa dépendance à l’égard des fournisseurs de services ne compromet pas sa gestion de la continuité des activités.
La gestion de la continuité des activités de l’institution financière peut être compromise par la survenance d’un incident, à la suite de la résiliation de l’entente d’impartition, ou l’incapacité d’un fournisseur de services à honorer ses engagements, ou la décision volontaire de rapatrier l’activité impartie. À cet égard, l’institution financière devrait évaluer l’impact de sa dépendance envers ses fournisseurs de services sur la continuité de ses activités et procéder aux correctifs nécessaires.
La gestion de la continuité des activités, que ce soit au niveau de l’institution financière ou au niveau de ses fournisseurs de services, devrait être structurée de façon rigoureuse afin d’assurer un niveau de préparation optimal. La gestion de la continuité des activités s’articule autour de l’élaboration et de la documentation d’un plan de continuité des activitésPlan d’action écrit qui définit les procédures et détermine les ressources nécessaires à la continuité et à la reprise des activités d’une institution. . Elle inclut également l’évaluation de la fiabilité du plan de continuité des activités élaboré, la gestion de crise et la mise à jour du programme de gestion de la continuité.
Advenant la survenance des conséquences négatives liées aux ententes d’impartition, l’Autorité s’attend à ce que l’institution financière mette en place les mesures nécessaires pour favoriser un retour à un fonctionnement normal le plus rapidement possible et afin de prévenir la récurrence d’une situation similaire. À cet effet, l’institution financière devrait notamment :
- évaluer l’ampleur des conséquences (p. ex., coûts) et leur étendue (p. ex., impacts sur les opérations, la réputation et la solidité financière);
- faire l’inventaire des facteurs de risques causant la survenance de ces conséquences;
- établir les correctifs à apporter (p. ex., changement du fournisseur de services), selon la gravité de la situation et les conséquences négatives subies;
- consigner ces éléments dans le rapport de gestion et de supervision des ententes d’impartition.
La haute directionGroupe de personnes chargés de la gestion quotidienne d’une institution financière selon les stratégies et les politiques établies par le conseil d’administration. et le conseil d’administrationGroupe de personnes élues ou nommées qui est ultimement responsable de la gouvernance et de la supervision d’une institution financière. devraient être avisés le plus rapidement possible à la suite de la survenance d’une conséquence négative ayant un impact important.
Annexe 1 : Exemples d’ententes d’impartition
Les ententes d’impartition visées par la ligne directrice pourraient notamment porter sur les domaines suivants :
- technologies de l’information (p. ex., saisie et traitement de données);
- traitement de documents (p. ex., chèques, cartes de crédit);
- administration des polices d’assurance;
- administration des demandes d’indemnisation;
- administration des prêts;
- gestion des placements (p.ex., gestion de portefeuilles);
- marketing (p.ex., centres d’appels, télémarketing);
- recherche (p.ex., développement de produits)
- gestion administrative (p.ex., traitement de la paie);
- gestion immobilière;
- services professionnels liés aux fonctions de supervision de l’institution financière (conformité, gestion des risques, actuariat et audit interne);
- ressources humaines;
- garde de valeurs;
- gestion de patrimoine.
Par opposition, la ligne directrice ne vise pas les éléments suivants :
- entente avec l’auditeur externe, sauf si les résultats du service ne sont pas validés au cours d’une vérification des états financiers de l’institution financière;
- messagerie, poste régulière, services publics, téléphone;
- formation spécialisée;
- services consultatifs discrets (p.ex. services juridiques, certains services de conseils en placements qui ne se traduisent pas directement par des décisions d’investissement, évaluations indépendantes, syndics de faillite);
- achat de biens, matériel, logiciels commerciaux et autres produits;
- examens de l’audit interne;
- antécédents de crédit et enquêtes sur les antécédents, et les services d’information;
- services d’information sur les marchés (p.ex., Bloomberg, Moody’s);
- services d’experts-conseils indépendants;
- services que l’institution financière n’est pas en mesure d’offrir pour des motifs juridiques;
- services d’impression;
- réparation et entretien d’immobilisations;
- offre et entretien de matériel de communication pris à bail;
- services d’agence de voyages et de transport;
- services de correspondant bancaire;
- entretien et appui de logiciels sous licence;
- aide temporaire et personnel contractuel;
- services de location de parcs automobiles;
- recrutement spécialisé;
- conférences à l’extérieur;
- ententes de compensation et de règlement entre les membres ou les participants à des systèmes de compensation et de règlement reconnus;
- vente de polices d’assurance par des agents ou des courtiers;
- cessions en assurance et en réassurance;
- groupement de prêts.
Annexe 2 : Exemples d’évaluation du projet d’impartition
L’évaluation du projet d’impartition devrait porter notamment sur les éléments suivants :
- identification de la nature de l’activité à impartir (activité stratégique ou activité de support);
- analyse des coûts de l’activité à impartir;
- détermination des procédés en vigueur;
- description de l’activité à impartir (le nombre d’employés, leurs fonctions, etc.);
- description des liens ou interactions de l’activité à impartir avec d’autres activités de l’institution;
- inventaire des actifs détenus ou loués relevant de l’activité à impartir;
- prospection de ce qui se fait par la concurrence concernant l’activité à impartir;
- détermination des orientations stratégiques de l’activité à impartir dans une perspective de moyen à long terme;
- identification des obstacles à l’impartition (p.ex. : exigences réglementaires, obstacles technologiques, financiers);
- capacité de l’institution financière à rapatrier l’activité impartie.
Annexe 3 : Exemples de vérification de la capacité du fournisseur de services
L’information à considérer et qui est pertinente à la sélection d’un fournisseur de services apte à assurer un service de qualité ou à l’évaluation périodique de sa capacité à continuer à répondre adéquatement à ses engagements, pourrait porter notamment sur les éléments suivants :
- Réputation : Quelle est la réputation du fournisseur de services dans l’industrie? Est-ce qu’il y a des plaintes à l’égard du fournisseur de services? Est-ce que le fournisseur de services a déjà contrevenu à des lois ou été partie de litiges dans l’exercice de ses activités? Est-ce que la réputation et la culture d’entreprise du fournisseur de services sont compatibles avec celles de l’institution financière?
- Historique : Depuis combien de temps le fournisseur de services est en affaires? Est-ce qu’il y a eu des événements qui ont influencé son expérience? Est-ce que le fournisseur de services a déjà subi une interruption de ses activités à cause d’une défaillance de ses systèmes ou d’un événement externe? Est-ce que le fournisseur de services a été en mesure d’assurer la gestion de la continuité de ses activités de façon adéquate après cet événement?
- Capacité financière : Est-ce que le fournisseur de services est financièrement stable? Quels ont été les résultats financiers du fournisseur de services au cours des dernières années (analyse de ses états financiers)? Quelles sont les prévisions de résultats du fournisseur de services pour les prochaines années?
- Organisation : Où se situe le siège du fournisseur de services? Quelle est l’implantation géographique (si différente) des principaux centres de services d’où l’activité impartie sera exécutée? Est-ce que l’emplacement des ressources nécessaires (actifs, employés et technologies) pour exécuter l’activité impartie convient à l’institution financière?
- Partenaires et sous-traitants : Est-ce que le fournisseur de services a recours à la sous-traitance? Qui sont les sous-traitants? Quelles sont la nature et la qualité de la relation du fournisseur de services avec ses sous-traitants ainsi que ses partenaires d’affaires?
- Compétence : Quel est le niveau d’expérience et d’expertise en ce qui a trait à l’activité impartie et dans la gestion des relations d’impartition?
Annexe 4 : Exemples de méthodologie d’évaluation de l’exposition aux risques liés à l’impartition
L’exposition aux risques de toute entente d’impartition dépend de deux éléments essentiels : la gravité des impacts associés aux conséquences négatives qui pourraient résulter de l’entente d’impartition et la probabilité d’occurrence de chacune de ces conséquences. Les conséquences négatives sont associées à des facteurs de risques qui caractérisent chaque entente d’impartition. L’évaluation de l’exposition aux risques d’une entente d’impartition consistera à déterminer la valeur de chacune de ces caractéristiques (facteurs de risques), à identifier les conséquences négatives qui leur sont associées et à estimer l’ampleur de l’impact de chacune des conséquences négatives.
Facteurs de risques
Facteurs de risques relatifs à l’institution financière:
- Niveau d’expérience et d’expertise en ce qui a trait à l’activité impartie
- Niveau d’expérience et d’expertise dans la gestion des relations d’impartition
- Précision dans l’estimation des coûts
Facteurs de risques relatifs au fournisseur de services:
- Taille du fournisseur de services
- Capacité financière
- Niveau d’expérience et d’expertise en ce qui a trait à l’activité impartie
- Niveau d’expérience et d’expertise dans la gestion des relations d’impartition
Facteurs de risques relatifs à l’impartition:
- Nature et portée de l’activité impartie
- Degré d’interdépendance de l’activité impartie avec les autres activités
- Connaissances limitées sur l’activité à impartir
Facteurs de risques relatifs à l’environnement d’affaires:
- Rareté de fournisseurs de services
- Évolution de la réglementation
Facteurs de risques relatifs aux technologies d’information:
- Discontinuité technologique
- Transfert de technologie
Conséquences négatives
- Coûts de transition et de gestion imprévus
- Modifications coûteuses aux ententes
- Litiges résultant de la divergence d’interprétation des clauses contractuelles
- Difficulté de renégociation des ententes
- Coûts élevés de renouvellement des ententes
- Diminution de la qualité du service offert
- Augmentation des coûts de prestation de services
- Perte de compétences liées à l’activité
- Perte de la capacité d’innovation
- Perte de la capacité de coordination
- Perte de contrôle sur l’activité
- Perte de légitimité
- Perturbation de l’organisation