Ligne directrice sur l'agrégation des données sur les risques et la divulgation des risques

Février 2016

Introduction

Lors de la dernière crise financière mondiale, plusieurs institutions d’importance ont peiné à divulguer leurs données portant sur les risques, souvent dans des délais très courts demandés alors par les régulateurs ou d’autres intervenants du marché, comme les agences de notation. L’inadéquation des technologies de l’information des institutions financières d’importance systémiqueInstitution financière dont la faillite risquerait de déclencher une crise financière. par rapport aux risques financiers auxquels elles étaient confrontées ainsi que la capacité desdites institutions à intégrer toute l’information sur les risques des différents secteurs d’activité a été fortement remise en question. Il en est résulté que la viabilité de certaines de ses institutions de même que la stabilité de leur marché ont été mises en péril.

En réponse à cette crise, le Comité de Bâle sur le contrôle bancaire (le « Comité de Bâle ») a entrepris un ensemble de réformes dans le but d’optimiser les pratiques de régulation, de surveillance et de gestion de risques de l’industrie.

Parmi les objectifs poursuivis par ces réformes s’y retrouve le renforcement de la transparence et de la divulgation des institutions. Dans ce contexte, le Comité de Bâle a publié le document intitulé Principes aux fins de l’agrégation de données sur les risquesCOMITÉ DE BÂLE SUR LE CONTRÔLE BANCAIRE. Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, janvier 2013. et de la notification des risques dans le but de renforcer la capacité des institutions d’importance systémique à agréger et à divulguer leurs données relatives aux risques. Le document présente quatorze principes couvrant les sujets suivants : la gouvernance et l’infrastructure, la capacité d’agrégation des données sur les risques, les pratiques de divulgation des risques et le rôle du superviseur.

Dans cette perspective, tel que préconisé par la Ligne directrice sur la gestion intégrée des risquesEnsemble de pratiques et de processus s’appuyant sur une culture de risques et favorisant l’utilisation de techniques permettant d’améliorer le processus décisionnel et le rendement grâce à une vision holistique de l’ensemble des risques de l’institution financière. AUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion intégrée des risques., il importe que l’Autorité ainsi que les divers intervenants du marché puissent avoir accès aux rapports intégrés sur les risques importants auxquels les institutions sont exposées, particulièrement celles dont toute menace à leur viabilité aurait le potentiel de provoquer une crise systémique.

L’Autorité adhère aux principes des principaux organismes de régulation internationaux, notamment ceux du Comité de Bâle et de l’Association internationale des contrôleurs d’assurance (AICA), qui favorisent une meilleure intégration et divulgation de l’information sur les risques permettant aux institutions financières de mieux anticiper les problématiques susceptibles d’atteindre leur viabilité

Ainsi, dans l’esprit d’adapter le document du Comité de Bâle à toute fédération de caisses, l’Autorité considère essentiel d’établir ses orientations quant à la gouvernance et l’infrastructure requises pour l’optimisation des processus ainsi qu’aux orientations ponctuelles sur la capacité d’agrégation de données sur les risques et sur les pratiques de divulgation de ces risques.

Par son habilitation prévue à la Loi sur les coopératives de services financiersPersonne morale regroupant des personnes ayant des besoins économiques communs et qui, en vue de les satisfaire, s’associent pour former une institution de dépôts et de services financiers. (LCSF)RLRQ, c. C-67.3, article 565. Voir également la Loi sur les institutions de dépôts et la protection des dépôts, RLRQ, c. I-13.2.2, article 42.2, l’Autorité donne la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. à toute fédération de caisses et son groupeLa Loi sur les coopératives de services financiers, RLRQ, c. C-67.3 définit le « groupe coopératif» de la façon suivante: « 6.2 L’ensemble des coopératives de services financiers constituant un réseau et le fonds de sécurité dont les membres du conseil d’administrationGroupe de personnes élues ou nommées qui est ultimement responsable de la gouvernance et de la supervision d’une institution financière. sont nommés par la fédération faisant partie de ce réseau constituent un groupe coopératif., le cas échéant, signifiant ainsi expressément ses attentes en matière d’agrégation des données sur les risques et la divulgation de ces risques.

 

Orientations générales

L’Autorité s’attend à ce que les institutions financières mettent en place un cadre leur permettant d’agréger adéquatement toutes les données sur les risques matériels et de les divulguer aux intervenants du marché de façon précise, opportune et adaptée aux circonstances. Une fois mis en œuvre, ce cadre devrait permettre l’optimisation de la gestion intégrée de risques des institutions.

L’Autorité s’attend à ce que l’information portant sur les risques qui est divulguée par les institutions soit efficacement agrégée, et ce, pour tous les secteurs d’activité dans lesquels elles opèrent. Cette information doit être communiquée en temps opportun aux instances décisionnellesLe conseil d’administration, la haute direction et les personnes responsables des fonctions de supervision. , ainsi qu’aux différents intervenants du marché, conformément à la nature des risques auxquels elles font face et de leur impact sur le profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. de l’institution.

L’agrégation et la divulgation des données sur les risques doivent être possibles en tout temps, notamment en temps de crise ou de changement organisationnel majeur, tels que les fusions ou les acquisitions. Le conseil d’administration et la haute directionGroupe de personnes chargés de la gestion quotidienne d’une institution financière selon les stratégies et les politiques établies par le conseil d’administration. pourraient, par exemple, s’en servir afin d’évaluer que l’offre de nouveaux produits ou services ne nuise pas au profil de risques de l’institution.

L’Autorité s’attend aussi à ce que les institutions financières optimisent leur procédureUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. de contrôle sur la qualité de l’information divulguée dans le but de présenter l’information la plus précise possible sur leur exposition agrégée aux risques. Cette procédure doit être adaptée au sein des différentes entités faisant partie de l’institution, même celles qui sont, par exemple, issues d’un processus de fusion.

En outre, l’Autorité s’attend à ce que le processus d’agrégation et de divulgation des données sur les risques demeure continuellement adaptable, de façon à ce que les institutions financières puissent produire des rapports ad hoc à partir de l’infrastructure de l’information sur les risques disponible. Cette capacité d’adaptation est aussi nécessaire afin de pouvoir évaluer l’impact des risques émergents.

Ultimement, la mise en œuvre de la présente ligne directriceDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. devrait permettre l’optimisation de la gestion intégrée de risques et constituer un outil important de la prise de décisions stratégiques.

 

1. Gouvernance et infrastructure

L’Autorité s’attend à ce que la mise en œuvre d’une initiative d’agrégation et de divulgation des données sur les risques compte sur la participation des instances ayant une responsabilité sur ces données. En outre, l’Autorité s’attend à ce que les institutions mandatent une fonction responsable de veiller à la gestion du contrôle de la qualité des données sur les risques tout au long de leur cycle de vie.

Cette orientation devrait faire partie du programme de gouvernance d’une institution financière, tel qu’énoncé par la Ligne directrice sur la gouvernanceAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gouvernance.. Ainsi, le conseil d’administration devrait veiller à ce que les membres de la haute direction comptent sur une expertise dans la gestion de technologies de l’information. Puisque la haute direction est responsable de voir à l’efficacité de la structure organisationnelle, elle devrait, dans cette optique, s’assurer de la cohérence entre les mesures de contrôle devant être instaurées pour la mise en œuvre de rapports intégrés sur les risques et l’efficience souhaitée pour la divulgation de ces risques.

Une politiqueEnsemble de principes généraux adoptés par une institution financière pour l'exercice de ses activités en lien avec un sujet donné. visant la protection de la confidentialité, la disponibilité et l’intégrité des données devrait être approuvée par le conseil d’administration, conformément aux rôles et responsabilités qui lui sont dévolus dans la Ligne directrice sur la gouvernance. À son tour, la haute direction de l’institution devrait s’assurer de la mise en œuvre de cette politique, laquelle permettra la standardisationSelon l’International Standards Organisation (ISO), une norme (standard en anglais) est un document qui définit des exigences, des spécifications, des lignes directricesDocument décrivant les mesures qui peuvent être prises par les institutions financières pour satisfaire à l’obligation légale de suivre des pratiques de gestion saine et prudente et à celle de suive de saines pratiques commerciales. ou des caractéristiques à utiliser systématiquement pour assurer l’aptitude à l’emploi des matériaux, produits, processus et services. des processus d’agrégation et de divulgation des données sur les risques.

Comme la mise en œuvre d’une initiative d’agrégation et de divulgation des données sur les risques implique toute l’organisation, il importe d’assurer la participation de toutes les instances ayant une responsabilité à l’égard de ces données, notamment la gestion de risques, la conformité, la gestion des technologies de l’information, les finances, la gestion de capital et trésorerie et les fonctions de contrôle.

L’institution devrait également s’appuyer sur une fonction indépendante pour la validation de ses processus d’agrégation et de divulgation des données sur les risques, conformément aux attentes en matière de supervision indépendante des activités, établis dans la Ligne directrice sur la gouvernance. Cette fonction devrait être en mesure de confirmer que ces processus correspondent au profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. de l’institution et que la politique de protection de données sur les risques est respectée par toutes les parties intéresséesToute personne ou organisme pouvant être affecté par une décision ou une activité d’une autre partie. , notamment, les cadres, employés, consultants et tierces parties. De plus, la fonction indépendante devrait s’assurer de coordonner ses travaux avec ceux du chef de la gestion des risques ou du membre de la haute direction ayant reçu ce mandat.

Étant donné que la capacité d’agrégation des données de risques pourrait être modifiée par un changement organisationnel majeur (p. ex. cession, acquisition, fusion), le conseil d’administration et la haute direction devraient considérer ces modifications dans le cadre des processus de revue diligente. La capacité d’agrégation devra être préservée dans tous les secteurs d’activité où l’institution est présente, en particulier dans ceux ayant modifié leur architecture des technologies de l’information ou dans ceux ayant conçu et mis en œuvre un nouveau produit. Toute limitation importante détectée sur cette capacité devra être portée à l’attention du conseil d’administration et de la haute direction.

Pour ce qui est de l’infrastructure, l’Autorité s’attend à ce que l’institution mandate une fonction responsable de veiller à la gestion du contrôle de la qualité des données sur les risques tout au long de leur cycle de vie. Cette fonction pourrait être assumée par un responsable de la haute direction, conformément aux attentes mentionnées ci-dessus en matière de supervision indépendante.

Cette fonction devrait aussi garantir la fiabilité de l’infrastructure technologique requise pour la gestion de ces données, tant dans les périodes de fonctionnement normal qu’en temps de crise. L’Autorité s’attend à ce que l’institution vise l’intégration de l’architecture et les taxonomies de données de ses différents secteurs d’activité. La standardisation des identifiants de données (p. ex., clients, nombre de comptes), ainsi que l’information sur les caractéristiques de données sur les risques dans toutes les applications utilisées par l’institution devraient faire partie de cette initiative. L’avancement de ce projet de standardisation devra être documenté, validé et mis à la disposition de l’Autorité.

Étant donné l’importance de compter sur une infrastructure technologique solide pour réussir l’agrégation et la divulgation des données sur les risques, l’Autorité s’attend à ce que les institutions optimisent leur infrastructure des technologies de l’information.
Une telle optimisation pourrait s’achever en limitant l’obtention de rapports à partir de procédures manuelles de même qu’en facilitant les flux des données entre les différents secteurs d’activité où l’institution opère, le cas échéant. L’évolution d’une telle initiative devra être validée par la fonction indépendante en s’assurant de l’engagement des responsables de tous les secteurs d’activité.

Le plan de continuité des affaires de l’institution devrait considérer l’impact que certains incidents majeurs pourraient avoir sur la confidentialité, la disponibilité et l’intégrité des données sur les risquesAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion de la continuité des activités.. Cet impact devra être quantifié à partir de techniques telles que les simulations de crisesOutil de gestion des risques visant à évaluer la vulnérabilité potentielle d’une institution financière à des scénarios spécifiques adverses exceptionnels, mais plausibles. , les indicateurs d’objectif de temps de récupération et les processus d’actualisation.

 

2. Capacité d’agrégation des données sur les risques

L’Autorité s’attend à ce que les institutions financières s’assurent de l’exactitude, de l’adaptabilité ainsi que de l’opportunité d’obtenir des données sur les risques matériels, et ce, à partir de la mise en place d’un cadre de contrôle sur le processus d’agrégation de ces données. L’Autorité s’attend, en outre, à ce que la capacité d’agrégation de données sur les risques soit toujours efficace, même en temps de crise.

L’institution devrait avoir un cadre de contrôle strict sur tout le processus de production de données sur les risques. Ce cadre devrait comprendre des contrôles sur les données générées par des fournisseurs externes, lesquels devront offrir leurs services en respectant les principes de gouvernance des ententes d’impartitionAUTORITÉ DES MARCHÉS FINANCIERS. Ligne directrice sur la gestion des risques liés à l’impartition..

Dans le cas d’une institution œuvrant dans différents secteurs d’activité, ou encore au sein de plusieurs juridictions, il est recommandé d’établir des paramètres communs pour déterminer la matérialité des risques. Il est aussi attendu que l’institution adopte une procédureUne succession imposée de tâches à réaliser. Elle répond en général à des impératifs qui ne sont pas discutables par la personne qui l’applique. permanente de réconciliation entre les données provenant de différentes sources ainsi qu’entre les différents types de données, en fonction des attentes de précision et d’exactitude de données et en lien avec leur profil de risqueÉvaluation du niveau de risque global de l’institution découlant de l’évaluation des risques inhérents aux activités d’envergure de l’institution financière, de la qualité de sa gestion des risques, de sa situation financière et de ses pratiques commerciales. s. Cette procédure doit faciliter l’analyse de différences entre les sources (qualitatives et quantitatives) afin, conséquemment, de procéder aux épurations nécessaires avant l’agrégation des données.

La fonction indépendante devant procéder à la validation des processus d’agrégation et divulgation des données sur les risques, mentionnée dans la section précédente, devra disposer d’un accès privilégié et permanent à tous les logiciels utilisés pour la production de données sur les risques de l’institution. Dans le cas où des défauts de conformité étaient constatés, les instances responsables, ainsi que la haute direction, devront rapidement être informées afin que des actions correctrices puissent être appliquées dès que possible.

De plus, la fonction indépendante devra veiller en continu à ce que l’information sur tous les risques soit agrégée de façon cohérente, sans toutefois viser une uniformisation des unités de mesure des risques. De plus, l’Autorité s’attend à ce que les institutions lui déclarent des erreurs ou omissions matérielles dans la divulgation des risques et qu’une procédure soit mise en œuvre pour mitiger la fréquence et l’impact de ce type d’erreurs.

De façon continue, mais en période de crise plus spécifiquement, l’institution devra s’assurer de pouvoir répondre efficacement à toute demande d’agrégation de données sur les risques, lesquelles pourront provenir de l’Autorité ou d’autres intervenants du marché, tels que la banque du Canada ou les agences de notation.

Le cadre de gestionEnsemble des politiques, procédures et mécanismes de contrôle visant à assurer la gestion des principales fonctions d’une organisation. intégrée de risques devrait permettre à l’institution de générer rapidement l’information sur les risques matériels auxquels elle est exposée. Pour ce faire, il est souhaitable que les exigences de temps de mise en production de chaque rapport de risque soient spécifiées au préalable. Toutefois, il importe de mentionner que la rapidité dans la capacité d’agrégation, ainsi que dans la divulgation des données sur les risques, ne devrait jamais s’effectuer au détriment de la précision, l’intégrité, l’exhaustivité et l’adaptabilité de ces données.

Comme les demandes d’information sur les risques proviennent de différents intervenants et que les besoins particuliers ne suivent pas nécessairement les mêmes paramètres et les mêmes délais, l’institution doit s’assurer que ses systèmes et procédures puissent s’adapter efficacement pour permettre la personnalisation de rapports (notamment par secteur d’activité, région, ou moyen de distribution). Cette adaptabilité est essentielle au moment de considérer de nouvelles situations, tant à l’interne qu’à l’externe, ayant le potentiel de nuire au profil de risque de l’institution.

 

3. Pratiques de divulgation des risques

L’Autorité s’attend à ce que les rapports sur les risques, en particulier ceux destinés aux instances décisionnellesLe conseil d’administration, la haute direction et les personnes responsables des fonctions de supervision. , reflètent l’appétit et les niveaux de tolérance aux risques de l’institution financière. Ces rapports doivent également permettre aux parties intéresséesToute personne ou organisme pouvant être affecté par une décision ou une activité d’une autre partie. de suivre clairement l’évolution de l’exposition aux risques de l’institution ainsi que l’efficacité et l’efficience des mesures pour leur traitement.

Étant donné que les rapports sur les risques sont utilisés par la haute direction et le conseil d’administration, principalement dans la prise de décisions stratégiques, leurs attentes en matière de rapport, notamment quant au niveau de granularité requis pour l’information sur les risques ainsi que la fréquence attendue et les délais accordés pour leur présentation devront être clairement divulgués à toutes les parties prenantesToute personne, groupe ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par un résultat, une décision ou une intervention d’une autre partie. de l’institution.

Plus une institution est complexe, moins l’utilisation de systèmes manuels pour la divulgation des risques ne sera tolérée. Toutefois, indépendamment du degré d’automatisation des systèmes utilisés, toute institution devra adéquatement documenter ses exigences de divulgation des risques, incluant au besoin une explication de l’utilisation des systèmes manuels ainsi que l’effet de ce choix sur l’exactitude de l’information générée et les actions envisagées pour mitiger les risques inhérentsLe risque existant en l'absence de toute action ou mesure qui pourrait en réduire l'impact ou la probabilité de sa réalisation. associés. Cette documentation devra être validée par la fonction indépendante afin de s’assurer de présenter toute anomalie importante à la haute direction et au conseil d’administration.

Ces rapports doivent également permettre de suivre l’évolution de l’exposition aux risques de chaque institution, ainsi que d’évaluer l’efficacité et l’efficience des mesures pour leur traitement. Il est essentiel que la présentation de données illustrant cette évolution soit accompagnée d’une analyse adaptée aux différents destinataires, incluant, au besoin, une explication sur les limitations liées à la divulgation des données sur les risques et les mesures envisagées pour les mitiger. Le conseil d’administration et la haute direction ainsi que tout autre destinataire de ces rapports devront signaler, à l’instance responsable, ceux qui ne correspondent pas aux attentes ou qui ne reflètent pas l’appétit ou les niveaux de tolérance aux risques de l’institution.

D’autre part, il est fondamental que l’instance responsable de générer ces rapports vérifie l’exactitude de l’information à divulguer. Comme mentionné précédemment, ces rapports peuvent provenir d’une multitude de sources d’information. Ultimement, l’institution demeure responsable de les classifier, les agréger et les présenter d’une façon claire et adaptée aux circonstances. Pour y arriver, l’institution devrait s’assurer de préparer et mettre en œuvre toutes les règles de validation nécessaires pour garantir la cohérence des données de risques présentées. Comme ces règles sont nécessairement dynamiques, du fait que les sources seront continuellement modifiées, des contrôles devront être mis en place sur ces règles, et leur efficacité devra être validée par la fonction indépendante. Ces contrôles devront s’intégrer au cadre du contrôle interneL’ensemble des mécanismes de contrôle mis en place au sein de l’institution financière pour donner aux instances décisionnelles une assurance raisonnable que les objectifs d’efficacité et d’efficience des opérations, de protection des actifs, de fiabilité des informations et de conformité sont atteints. de l’institution et être supportés par des descriptifs de règles en vigueur, utilisant des conventions concrètes et simples.