Propriétés du document
- Type de publication : Ligne directrice
- Catégorie : Saines pratiques commerciales et financières
- Date : mai 2001
- Révision : décembre 2003
- Révision : mars 2009
- No : B-10
- Public : Banques / SBE / Coop / SAV / SAM / F&P
1. Introduction
Les institutions financières ont recours à des activités, à des
fonctions et à des méthodes d’impartition pour relever les défis
que posent les progrès technologiques, la spécialisation accrue,
le contrôle des dépenses et la concurrence plus vive. Or, l’impartition
peut accroître la dépendance d’une institution à l’égard de tiers
et, par le fait même, son profil de risque. De nombreux organismes
de réglementation du secteur financier ont réagi en édictant des
consignes sur la gestion des risques liés à l’impartition.
La présente ligne directrice énonce les attentes du BSIF à l’égard
des entités fédérales (EF) qui recourent à l’impartition d’au moins
l’une de leurs activités en faveur d’un fournisseur de services
ou qui songent à le faire. À toutes fins utiles, ces attentes correspondent
aux pratiques, procédures ou normes prudentes à appliquer selon
les caractéristiques de l’entente d’impartition et de la situation
de l’EF.
Les EF peuvent certes structurer leurs activités de manière à appuyer le plus possible la réalisation de leurs objectifs. Par contre, l’un des principes qui sous-tendent la présente ligne directrice est qu’en fin de compte, les EF sont responsables de toutes les activités imparties. En outre, les pouvoirs de surveillance du BSIF ne doivent d’aucune manière être restreints, que l’activité soit exécutée à l’interne, qu’elle soit impartie ou qu’elle soit obtenue d’un tiers.
En vertu de la présente ligne directrice, les EF doivent :
- évaluer les risques de toute entente d’impartition existante
ou proposée;
- élaborer un processus pour déterminer l’importance relative
des ententes;
- mettre en œuvre un programme de gestion et de supervision des
risques qui tient compte de l’importance relative des ententes;
- veiller à ce que la haute direction, l’agent principal
ou l’administrateur principal reçoive l’information nécessaire pour s’acquitter de ses fonctions en vertu de la présente
ligne directrice;
- l’EF doit éviter d’impartir certaines activités à l’auditeur
externe (voir la section 4.3).
Les attentes particulières du BSIF peuvent varier selon la nature
de l’entente d’impartition envisagée et la relation entre l’EF et
le fournisseur de services. Comme il est indiqué dans le Cadre
de surveillance, le BSIF applique une démarche axée sur les
risques en matière d’évaluation de la sécurité et de la stabilité
de l’EF sur une base consolidée. Les ressources sont concentrées
sur les enjeux présentant un plus grand risque et l’information
provenant d’autres organismes de réglementation est utilisée le
cas échéant. Pour chaque activité que le BSIF juge d’envergure, il évalue le niveau de risque, y compris le risque réglementaire, et tient compte de l’effet d’atténuation des risques en évaluant la qualité de la gestion des risques. Les institutions bien gérées sur le plan des risques nécessitent une surveillance réduite. Par conséquent, conformément au processus de surveillance axée sur les risques appliqué par le BSIF, les politiques et les procédures employées par une institution pour évaluer l’importance relative d’une entente d’impartition et gérer les risques inhérents aux ententes d’impartition pourront être évaluées en regard des attentes formulées dans la présente ligne directrice. Une entente d’impartition donnée pourrait aussi faire l’objet d’un examen de surveillance.
2. Période de transition
3. Définitions
3.1 Entente d’impartition
Pour l’application de la présente ligne directrice, une entente
d’impartition est un mécanisme aux termes duquel une EF confie à
un fournisseur de services l’exécution d’une activité, fonction
ou méthode de gestion dont elle s’acquitte, ou pourrait s’acquitter, elle-même.
L’EF peut consulter le BSIF pour déterminer avec certitude si un
mécanisme donné est visé par cette définition. On trouvera des exemples
à l’annexe 1.
3.2 Entité fédérale (EF)
Pour l’application de la présente ligne directrice, une EF s’entend,
selon le cas:
- d’une banque de l’annexe I ou de l’annexe II à laquelle la Loi sur les banques s’applique;
- d’une personne morale à laquelle la Loi sur les sociétés
de fiducie et de prêt s’applique;
- d’une association à laquelle la Loi sur les associations
coopératives de crédit s’applique ou d’une coopérative de
crédit centrale ayant fait l’objet de l’ordonnance prévue au paragraphe
473(1) de ladite loi;
- d’une société d’assurances ou d’une société de secours mutuels
constituée, formée ou prorogée en vertu de la Loi sur les
sociétés d’assurances;
- d’une société de portefeuille bancaire constituée, formée ou
prorogée en vertu de la partie XV de la Loi sur les banques;
- d’une société de portefeuille d’assurances constituée, formée
ou prorogée en vertu de la partie XVII de la Loi sur les sociétés
d’assurances;
- de la succursale canadienne d’une banque étrangère ayant fait
l’objet de l’arrêté prévu au paragraphe 524(1) de la Loi sur
les banques ;
- de la succursale canadienne d’une société étrangère ayant fait
l’objet de l’ordonnance prévue au paragraphe 574(1) de la Loi
sur les sociétés d’assurances.
3.2.1 Groupe d’une EF
Pour l’application de la présente ligne directrice, le groupe
d’une EF désignée au paragraphe 3.2 a) à f) comprend l’EF et, selon
le cas, l’une des entités suivantes :
- l’entité qui contrôle l’EF si cette entité est également une
EF;
- une filiale de l’EF;
- une filiale de l’entité visée en a).
3.2.2 Groupe d’une société mère des institutions
financières réglementées (SMIFR) – succursales ou filiales comptant
une société mère étrangère ou provinciale réglementée
Aux fins de la présente ligne directrice, le groupe d’une SMIFR
englobe :
- dans le cas d’une entité désignée au paragraphe 3.2 g), la
succursale canadienne, le siège social, et toute autre succursale
ou agence de la banque étrangère;
- dans le cas d’une entité désignée au paragraphe 3.2 h), la
succursale canadienne, le siège social, et tout autre succursale
ou agence de la société étrangère;
- dans le cas d’une entité désignée au paragraphe 3.2 a) à f),
une entité qui contrôle l’EF si cette entité est régie par un
organisme de réglementation financière étranger ou provincial.
4. Application de la ligne directrice
La présente ligne directrice s’applique à toute entente d’impartition
d’une EF ou du groupe d’une EF. En outre, pour l’application de
la présente ligne directrice, l’EF doit tenir compte de l’effet
des ententes d’impartition conclues par l’ensemble de ses filiales
et entreprises commerciales, y compris celles situées à l’étranger,
sur l’EF et sur ses activités consolidées. Le BSIF s’attend à ce
que l’EF fasse en sorte que ses filiales et succursales suivent
la ligne directrice au moment de signer des ententes d’impartition
importantes.
L’importance relative de toute entente d’impartition doit être
évaluée conformément à la section 6 de la présente ligne directrice.
Le BSIF reconnaît que l’importance relative des ententes d’impartition
peut varier, et il s’attend à ce que la rigueur de la gestion des
risques d’impartition exercée par l’EF corresponde à l’importance
relative de l’entente d’impartition en cause.
Le programme de gestion des risques décrit à la section 7 doit
être appliqué intégralement aux ententes d’impartition réputées
importantes. Toutefois, les attentes peuvent être assouplies, conformément
aux sections 4.1 et 4.2 respectivement, dans le cas d’une entente
d’impartition d’envergure entre soit une EF et un membre d’un groupe
d’EF, soit entre une EF et un membre d’un groupe de SMIFR. Les EF
peuvent consulter le BSIF en cas de doute quant à l’évaluation d’un
agencement particulier d’ententes internes.
On prévoit que les ententes d’impartition manifestement peu importantes
ne seront pas assujetties au programme de gestion des risques décrit
ici. En outre, la section 4.3 prévoit qu’une EF doit éviter d’impartir
certaines activités à son auditeur externe.
4.1 Ententes d’impartition importantes à l’intérieur
du groupe d’une EF
Lorsqu’un membre du groupe d’une EF conclut une entente d’impartition importante avec un autre membre de son groupe d’entités fédérales (voir la section 3.2.1), le BSIF s’attend, à tout le moins, à ce que :
- l’entente d’impartition précise notamment la portée de cette
dernière, les services à fournir, la nature de la relation entre
l’EF et le fournisseur de services, de même que les politiques
et les procédures régissant la sous-traitance;
- l’on établisse un plan de poursuite des activités pertinent;
- l’on établisse des processus de surveillance et de contrôle;
- l’on précise les exigences législatives sur l’emplacement des documents
(section 7.2.2).
Le cas échéant, une EF mère peut examiner ces attentes à l’aide
de méthodes ou de plans appliqués à l’ensemble de l’entreprise,
dans la mesure où elle tient compte des risques particuliers pour chaque filiale. De même, l’EF
mère peut établir le programme, approuver les politiques, et élaborer
et tenir à jour une structure de rapport pour le compte de ses filiales.
Conformément au Cadre de surveillance axé sur les risques,
le BSIF peut entretenir des attentes supplémentaires à l’égard des
ententes avec le groupe d’EF, selon les risques se rapportant à
l’entente d’impartition et les conclusions de l’examen de surveillance
mené par le BSIF.
4.2 Ententes d’impartition importantes à l’intérieur
du groupe d’une SMIFR
Lorsqu’une succursale canadienne ou une filiale canadienne conclut une entente d’impartition importante avec un membre du groupe d’une SMIFR (section 3.2.2), le BSIF s’attend, à tout le moins, à ce que :
- l’on établisse un processus de diligence raisonnable portant
sur les aspects qualitatifs de l’entente, plus particulièrement
ceux qui ont trait aux exigences opérationnelles uniques de l’EF;
- l’entente d’impartition précise notamment la portée de cette
dernière, les services à fournir, la nature de la relation entre
l’EF et le fournisseur de services (p. ex., les rôles, responsabilités
et attentes), et traite des questions visées à la section 7.2.1
s’il y a lieu;
- l’on mette en place une procédure régissant l’impartition de
services;
- l’on établisse un plan de poursuite des activités pertinent;
- l’on établisse un processus de surveillance et de supervision;
- l’on précise les exigences législatives sur l’emplacement des documents
(section 7.2.2)
Conformément au Cadre de surveillance axé sur les risques,
le BSIF peut avoir d’autres attentes au sujet des ententes avec
le groupe de la SMIFR, selon les risques se rapportant à l’entente
d’impartition et aux conclusions de son examen de surveillance.
4.3 Ententes d’impartition avec l’auditeur
externe
Avant d’obtenir des services autres que d’audit de son
auditeur externe, l’EF doit s’assurer que si les services doivent
lui être offerts par son auditeur externe, celui-ci respecte
les normes professionnelles canadiennes pertinentes sur l’indépendance
des auditeurs ou à tout autre critère applicable d’indépendance
de l’auditeur.
En outre, l’EF ne doit pas impartir à son auditeur externe
:
-
un service actuariel, sauf s’il est raisonnable de conclure
que les résultats du service ne seront pas vérifiés au cours
d’un audit des états financiers de l’EF. À cette fin,
un service actuariel a trait à la détermination d’un montant
à constater dans les états financiers de l’EF ou une tâche normalement
effectuée par l’actuaire désigné de cette dernière, mais non un service visant à aider l’EF à
comprendre les méthodes, les modèles, les hypothèses et les
intrants utilisés ou à conseiller les dirigeants au sujet des
méthodes et des hypothèses actuarielles appropriées qui seront
employées. Conformément à la ligne directrice E-15, Actuaire
désigné : Dispositions législatives, qualifications et examen
externe, l’EF peut confier à un actuaire de son cabinet
d’audit externe l’examen externe des travaux et rapports
de l’actuaire désigné.
-
un service d’audit interne lié aux contrôles comptables
internes, aux systèmes financiers ou aux états financiers de
l’EF, sauf s’il est raisonnable de conclure que les résultats
du service ne seront pas vérifiés au cours d’un audit
des états financiers de l’EF. Cela n’empêche pas l’auditeur
externe de fournir un service ponctuel pour évaluer un poste
ou un programme discret si le service ne correspond pas essentiellement
à l’impartition d’une fonction de vérification interne.
5. Reddition de comptes et contrôle
5.1 Attributions de la haute direction
d’une EF
Une EF doit s’assurer d’adopter des politiques et des
pratiques appropriées de gestion des risques, et à ce que ces dernières soient
périodiquement revues. En ce qui a trait aux risques spécifiques
posés par l’impartition, l’on s’attend à ce que, dans l’exercice
de ses fonctions, la haute direction :
- approuve ou réitère périodiquement les politiques applicables
aux ententes d’impartition (p. ex., philosophie du risque, critères
d’importance relative, programme de gestion des risques et limites
d’approbation);
- revoie périodiquement la liste complète des ententes d’impartition
importantes de l’EF (voir la section 7.3.1) et d’autres rapports
pertinents, le cas échéant.
Voir la ligne directrice Gouvernance d’entreprise pour obtenir des précisions sur les attentes du BSIF à l’égard du conseil d’administration d’une EF en ce qui a trait aux politiques opérationnelles, commerciales, de gestion du risque et de gestion de crise.
5.2 Attributions de la fonction de gestion opérationnelle d’une EF
La fonction de gestion opérationnelle de l’EF a pour responsabilités :
- d’élaborer des politiques d’impartition et de les soumettre à l’approbation de la haute direction;
- de mettre en œuvre les politiques et toute procédure connexe;
- de revoir périodiquement l’efficacité des politiques et procédures;
- de communiquer l’information sur les risques d’impartition importants à la haute direction en temps opportun.
Les politiques et les procédures doivent inclure ce qui suit :
- Philosophie du risque d’impartition
De façon générale, la philosophie du risque d’impartition
de l’EF doit inclure un énoncé de principes, les fondements
du processus décisionnel et les paramètres servant à contrôler
les risques d’impartition. La philosophie du risque d’impartition
différera d’une EF à l’autre, mais elle doit traiter :
- de l’intégration des ententes d’impartition, individuellement
et en bloc, aux objectifs commerciaux et stratégiques généraux.
Cela peut inclure la détermination de toute fonction que l’EF
préférerait ne pas impartir pour des raisons stratégiques
ou de contrôle interne;
- de l’importance et de l’adéquation de l’expertise interne
et des cadres de gestion pour la supervision et la gestion
des activités imparties et de la relation avec le fournisseur
de services;
- des analyses de rentabilisation pour l’impartition d’une
activité de gestion d’envergure. Cette analyse doit examiner
les coûts à court et à long terme et toutes les questions
prudentielles pertinentes. Lorsque le service est fourni depuis
l’étranger, l’EF doit recenser les questions qui peuvent découler
d’exigences différentes et peut-être contradictoires entre
les pays. L’analyse de rentabilisation doit aussi porter sur
les répercussions cumulatives de toutes les ententes d’impartition
sur la sûreté et la solidité globales de l’EF.
- Évaluation de l’importance relative des ententes d’impartition
Cette évaluation doit recenser les processus servant à déterminer
l’importance relative de chaque entente d’impartition, de même
que les facteurs d’importance relative sous-jacents semblables
à ceux que l’on retrouve à la section 6.
-
Un programme de gestion des risques d’impartition qui reprend
à tout le moins les attentes énoncées à la section 7 et qui
est appliqué de façon systématique à l’échelle de l’EF, y compris
dans les bureaux situés à l’étranger. Le BSIF s’attend à ce
que les dirigeants accordent une attention particulière à la
planification de la poursuite des activités à l’échelle de l’entité.
-
Les limites hiérarchiques ou d’autorisation en vertu desquelles
les dirigeants de l’EF peuvent approuver des ententes d’impartition
d’ampleur variable, individuellement ou en bloc. Ce mécanisme
doit être compatible avec la philosophie du risque d’impartition
et les critères d’importance relative.
5.3 Attributions de l’agent principal ou du
dirigeant principal
Les attentes du BSIF à l’égard de l’agent principal ou du dirigeant
principal en vertu de la présente ligne directrice sont décrites
dans la directrice E-4, Rôle
de l’agent principal canadien et exigences en matière de tenue de
livres. Le BSIF s’attend à ce que l’agent principal ou
le dirigeant principal, et les personnes compétentes au siège social qui ont pour responsabilité de superviser les activités exercées au Canada, assument le rôle de gouvernance d’entreprise
qui incombe normalement à la haute
direction. L’agent principal ou le dirigeant principal demeure redevable
des activités au Canada, que l’activité soit exécutée au Canada
ou qu’elle ait été impartie.
Le BSIF s’attend à ce que l’agent principal ou le dirigeant principal
veille à ce que la succursale mette en place des politiques de gestion
des risques d’impartition et réponde aux attentes énoncées à la
section 5.2 de la présente ligne directrice. L’on s’attend plus
particulièrement à ce que l’agent principal/le dirigeant principal
:
- veille à l’élaboration et à l’application des critères d’importance
relative;
- veille à l’application du programme de gestion des risques;
- signale à son chargé de surveillance du BSIF, de manière
formelle ou informelle et dans un délai raisonnable, tout événement
fortement susceptible d’avoir une incidence marquée sur la prestation
du service visé par une entente d’impartition importante.
6. Évaluation de l’importance relative des ententes d’impartition
Comme on l’a vu à la section 4, le BSIF reconnaît que les ententes
d’impartition conclues par une EF présenteront des degrés variables
d’importance relative et qu’il pourrait être difficile de déterminer
si ces ententes sont importantes ou non. De façon générale, le BSIF
s’attend à ce qu’une EF conçoive un programme de gestion des risques
qui s’applique à toutes ses ententes d’impartition en vigueur, à
l’exception de celles manifestement peu importantes et que les facteurs
d’atténuation des risques utilisés en vertu de ce programme conviennent
à l’entente d’impartition particulière. En principe, le programme
de gestion des risques pourrait être adapté pour appliquer diverses
exigences selon le type d’entente d’impartition. Les ententes réputées
importantes doivent être assujetties à toutes les attentes énoncées
à la section 7, à moins qu’il soit raisonnable de conclure qu’une
attente particulière ne convient pas à l’entente d’impartition en
question. Le BSIF peut revoir une évaluation de l’importance relative
d’une EF particulière dans le cadre du processus d’examen de surveillance.
L’importance relative d’une entente d’impartition dépendra de
la mesure où elle est susceptible d’avoir une profonde influence,
quantitative ou qualitative, sur un secteur d’activité important
de l’EF ou de la succursale/filiale étrangère au Canada.
L’évaluation de l’importance relative d’une entente d’impartition
est souvent subjective et dépend des circonstances propres à l’EF
en cause. Sans limiter la portée de l’évaluation de l’importance
relative, les facteurs que l’EF doit prendre en considération comprennent:
- les répercussions de l’entente d’impartition sur la situation financière,
la réputation et le fonctionnement de l’EF, ou sur un secteur
d’activité important, plus particulièrement si le fournisseur
de services ou un groupe de fournisseurs de services affiliés
ne s’acquitte pas de son engagement pendant une période donnée;
- la capacité de l’EF de maintenir en place les contrôles internes
appropriés et de satisfaire aux exigences réglementaires, plus
particulièrement si le fournisseur de services devait éprouver
des problèmes;
- le coût de l’entente d’impartition;
- la difficulté de trouver un autre fournisseur de services ou
de rapatrier l’activité à l’interne, y compris le temps nécessaire;
- le risque que plusieurs ententes d’impartition avec un même fournisseur puissent avoir une influence importante – par la somme totale – sur l’EF .
On trouvera à l’annexe 2 des questions que l’EF peut se poser
pour évaluer l’importance relative des ententes d’impartition.
L’impartition intégrale, ou presque, d’une fonction de supervision de gestion doit toujours être considérée comme importante, sauf si l’EF reçoit ce service d’un autre membre de son groupe d’entités fédérales. Pour l’application de la présente ligne directrice, les fonctions de supervision de gestion englobent :
- l’analyse financière;
- la conformité;
- tout service d’audit interne lié aux contrôles comptables
internes, aux systèmes financiers ou aux états financiers;
- la haute direction;
- la gestion des risques.
Par exemple, une entente importante pourrait se rapporter à l’impartition
d’une tranche significative de la fonction de technologie de l’information
de l’EF, de la fonction d’investissement ou du traitement des prêts.
Les ententes d’impartition susceptibles de ne pas être importantes
comprennent celles pour lesquelles il existe de nombreux fournisseurs
similaires sur le marché et celles dont le coût et les inconvénients
de la substitution des fournisseurs sont modestes.
Des fluctuations significatives du volume ou de la nature des
activités devraient inciter l’EF à réévaluer l’importance relative
d’une entente d’impartition. Si, à la suite d’une réévaluation,
une entente est désignée importante, elle devra satisfaire à tous
les aspects de la présente ligne directrice à la première occasion,
par exemple, au moment de la révision en profondeur, du renouvellement
ou de la prorogation du marché d’impartition, de l’entente ou de
l’énoncé de travail, selon le cas.
7. Programme de gestion des risques pour les
ententes d’impartition importantes
De façon générale, le BSIF s’attend à ce qu’une EF conçoive un programme de gestion des risques qui s’applique à toutes les ententes d’impartition de son groupe d’entités fédérales, à l’exception de celles qui sont vraiment peu importantes et que les facteurs d’atténuation des risques utilisés soient proportionnels à l’évaluation des risques liés à l’entente d’impartition particulière qu’a négociée l’EF.
7.1 Processus de diligence raisonnable
Le BSIF s’attend à ce que l’EF procède à un examen interne de diligence
raisonnable pour déterminer la nature et la portée de l’activité
de gestion qui doit être impartie, sa relation avec les autres activités
de l’EF et la façon dont cette activité est gérée.
Lors de la sélection d’un fournisseur de services ou du renouvellement ou de la modification significative d’un marché ou d’une entente d’impartition, l’EF doit appliquer un processus de diligence raisonnable qui évalue pleinement les risques associés à l’entente d’impartition et aborde tous les aspects propres au fournisseur de services, y compris les facteurs qualitatifs (c.-à-d. d’exploitation) ou quantitatifs (c.-à-d. financiers) (voir l’annexe 3 pour une liste de facteurs qui pourraient être pris en compte à l’application du processus de diligence raisonnable au fournisseur de service). Si l’on envisage l’impartition à l’extérieur du Canada, l’EF doit accorder une attention particulière aux exigences juridiques du territoire en question, de même qu’à la situation politique, économique et sociale étrangère et aux événements susceptibles de réduire la capacité du fournisseur de services étranger d’assurer le service, sans oublier tout autre facteur de risque pouvant nécessiter l’ajustement du programme de gestion des risques.
Les processus de diligence raisonnable varieront selon l’EF et
la nature de l’entente d’impartition envisagée. Par exemple, en
cas de renouvellement, lorsqu’aucun changement important n’a influé
sur la viabilité de la relation d’impartition, il pourrait convenir
d’effectuer une analyse de diligence raisonnable. Si le fournisseur
de service est membre d’un groupe de SMIFR, un processus simplifié
de diligence raisonnable peut être appliqué afin de tenir compte
des aspects qualitatifs de l’entente, plus particulièrement ceux
qui portent sur les exigences opérationnelles exclusives (p. ex.,
canadiennes) de l’EF.
L’EF peut s’appuyer sur un examen de diligence raisonnable du
fournisseur de services effectué par un membre du groupe ou par
le siège de l’EF au cours des 15 derniers mois, à condition que
cet examen porte sur les exigences susmentionnées, de même que sur
les risques propres à l’EF.
7.2 Politiques et procédures de gestion des
risques liés aux ententes d’impartition importantes
7.2.1 Marchés de services
Le BSIF s’attend à ce que les ententes d’impartition importantes soient
documentées au moyen d’un marché écrit qui aborde tous les éléments
de l’entente et qui a été revu par le conseiller juridique de l’EF.
Certains des éléments qui suivent peuvent ne pas s’appliquer dans
tous les cas. Cependant, on s’attend à ce que l’EF traite de toutes les
questions touchant la gestion des risques associés à chaque entente
d’impartition, pourvu que ce soit possible et raisonnable, compte
tenu de la situation et dans l'intérêt supérieur de l’EF. Les ententes
d’impartition à l’intérieur d’une EF ou du groupe d’une SMIFR peuvent
être documentées au moyen d’une entente d’impartition qui respecte
les attentes énoncées respectivement aux sections 4.1 et 4.2.
-
a) Nature et portée du service fourni
Le marché ou l’entente d’impartition doit préciser la portée de
la relation, ce qui peut inclure des dispositions sur la fréquence,
la teneur et les modalités du service en question. Le marché ou
l’entente d’impartition doit préciser à quel endroit le service
sera fourni.
Il faut établir des mesures de rendement qui permettent à chaque
partie de déterminer si les engagements prévus par le marché sont
respectés.
-
c) Exigences en matière de rapports
Le marché ou l’entente d’impartition doit préciser le type d’information
que l’EF reçoit du fournisseur de services, et à quelle fréquence.
Cela doit inclure des rapports qui permettront à l’EF de déterminer
si les mesures de rendement sont satisfaites et de disposer de tout
autre renseignement nécessaire aux fins du programme de surveillance
de l’EF (voir la section 7.3). En outre, le marché ou l’entente
d’impartition doit inclure des procédures et des exigences pour
le signalement, à l’EF par le fournisseur, d’événements susceptibles
d’avoir une forte incidence sur la prestation du service.
-
d) Règlement des différends
Le BSIF s’attend à ce que le marché ou l’entente d’impartition
englobe un protocole de règlement des différends. Le marché ou l’entente
d’impartition doit préciser si le fournisseur doit continuer d’assurer
le service en situation de différend et pendant la période de règlement
de celui-ci, de même que l’instance et les règles qui régiront le
règlement du différend.
-
e) Défauts et résiliation
Un marché ou une entente d’impartition doit préciser ce qui constitue un défaut, indiquer des correctifs et permettre de corriger un défaut ou de résilier le marché. L’EF doit veiller à pouvoir raisonnablement continuer de traiter l’information et de poursuivre ses activités en cas de résiliation de l’entente d’impartition ou si le fournisseur est incapable d’assurer le service. La résiliation doit faire l’objet d’un préavis adéquat, et les actifs de l’EF doivent être retournés en temps opportun. Plus particulièrement, les données et les documents sur les ententes d’impartition du traitement des données doivent être remis à l’EF de manière à ce que cette dernière puisse poursuivre ses activités sans engager de frais excessifs.
Le libellé du marché ou de l’entente d’impartition ne doit pas
empêcher le maintien du service en cas de prise de contrôle de l’EF
par le surintendant, ou de liquidation de l’EF.
La détermination et la propriété de tous les actifs (propriété
intellectuelle et biens) se rapportant à l’entente d’impartition
doivent être clairement établies; cela vaut également pour les actifs
générés ou acquis aux termes de l’entente d’impartition. Le marché
ou l’entente d’impartition doit préciser si, et de quelle manière,
le fournisseur de services peut utiliser les actifs de l’EF (p.
ex., les données, le matériel, les logiciels, la documentation des
systèmes ou la propriété intellectuelle) et le droit d’accès de
l’EF à ces actifs.
-
g) Planification d’urgence
Le marché ou l’entente d’impartition doit préciser les mesures
que doit prendre le fournisseur de services pour garantir la poursuite
de l’activité impartie en cas d’événements pouvant poser problème
au fonctionnement du fournisseur de services, y compris une panne
de systèmes, un désastre naturel ou un autre événement raisonnablement
prévisible. L’EF doit veiller à ce que le fournisseur de services
teste périodiquement son système de reprise des activités relativement
aux activités imparties et lui en communique les résultats, et règle
tout problème soulevé. L’EF doit fournir un résumé des résultats
du test sur demande du BSIF dans un délai raisonnable. En outre,
l’EF doit être avisée si le fournisseur de services modifie sensiblement
ses plans de reprise des activités et ses mesures d’urgence, ou
s’il est confronté à d’autres circonstances qui pourraient avoir
une incidence sérieuse sur le service.
Le marché ou l’entente d’impartition doit clairement préciser
les exigences et les droits d’audit du fournisseur de services
et de l’EF. Il doit au moins permettre à l’EF d’évaluer le service
fourni ou de le faire évaluer par un auditeur indépendant pour
son compte. Cela comprend un examen du cadre de contrôle interne
du fournisseur de services en ce qui a trait au service fourni.
En outre, dans tous les cas, que l’activité soit exécutée à l’interne,
par impartition ou par un tiers, le BSIF conserve ses pouvoirs en
matière de surveillance.
Par conséquent, un engagement pris par le fournisseur de services
ou une disposition du marché d’impartition doit autoriser le BSIF
ou le représentant du surintendant à :
- exercer les droits contractuels de l’EF relativement à un
audit;
- accompagner un représentant de l’EF (ou son auditeur indépendant)
lors de l’exercice de ses droits contractuels relativement à l’audit;
- obtenir et reproduire tous rapports d’audit interne
(de même que les documents de travail et les recommandations qui
s’y rapportent) établis par ou pour le fournisseur de services
relativement au service fourni pour le compte de l’EF, à condition
que le BSIF accepte de signer un document de confidentialité approprié
dont la forme et le contenu satisfont le fournisseur de services;
- prendre connaissance des conclusions de l’audit externe
du fournisseur de services (ainsi que des documents de travail
et des recommandations qui s’y rattachent) sur le service fourni
pour le compte de l’EF, sous réserve du consentement de l’auditeur
externe du fournisseur de services et à condition que le BSIF
signe un document de confidentialité approprié dont la forme et
le contenu satisfont le fournisseur de services et l’auditeur
externe.
Le BSIF informerait l’EF de son intention d’exercer ses droits
d’audit et partagerait ses conclusions avec l’EF le cas
échéant. Dans le cours normal des affaires, le BSIF cherchera à
obtenir toute l’information dont il a besoin par l’intermédiaire
de l’EF elle-même.
Le marché ou l’entente d’impartition doit énoncer toute règle
ou limite régissant la sous-traitance par le fournisseur de services.
Plus particulièrement, des normes de sécurité et de confidentialité
doivent s’appliquer aux ententes de sous-traitance ou d’impartition
par le principal fournisseur de services. En accord avec les principes
de la présente ligne directrice, les droits de l’EF et du BSIF en
matière d’audit et d’examen doivent continuer de s’appliquer
à toute entente importante de sous-traitance.
-
j) Confidentialité, sécurité et séparation des biens
À tout le moins, le marché ou l’entente d’impartition doit énoncer
les exigences de l’EF en matière de confidentialité et de sécurité.
Idéalement, les politiques de sécurité et de confidentialité adoptées
par le fournisseur de services doivent être comparables à celles
de l’EF et satisfaire à une norme raisonnable dans les circonstances.
Le marché ou l’entente d’impartition doit préciser qui est responsable
des mécanismes de protection, la portée de l’information à protéger,
les pouvoirs de chaque partie pour ce qui est de modifier les procédures
et les exigences de sécurité, quelle partie peut être tenue responsable
des pertes pouvant résulter d’un manquement à la sécurité, de même
que les exigences de notification en cas de manquement à la sécurité.
Le BSIF s’attend à ce que des mesures appropriées de sécurité
et de confidentialité des données soient mises en place. Le fournisseur
de services doit être en mesure d’isoler de façon logique les données,
les documents et les effets en traitement de l’EF de ceux d’autres
clients en tout temps, y compris en cas de problème.
Le marché ou l’entente d’impartition doit décrire pleinement le
calcul des frais et de la rémunération se rapportant au service
fourni.
Le fournisseur de services doit être tenu de signaler à l’EF tout
changement important dans la protection d’assurance, et divulguer
les modalités générales de la protection d’assurance.
7.2.2 Emplacement des documents
En vertu de la législation régissant les institutions financières
fédérales,
certains documents d’entités actives au Canada doivent être conservés
au Canada. En outre, l’EF doit veiller à ce que le BSIF ait accès
au Canada à tout document nécessaire pour lui permettre de s’acquitter
de son mandat.
7.2.3 Plan de poursuite des activités
Le plan de poursuite des activités de l’EF doit couvrir les situations
(temporaires ou permanentes) raisonnablement prévisibles, où le
fournisseur de services est incapable de continuer d’assurer le
service. Le plan de poursuite des activités et les systèmes de relève
doivent être en proportion du risque d’interruption du service.
Plus particulièrement, le plan de poursuite des activités de l’EF
doit veiller à ce que cette dernière ait en sa possession ou puisse
obtenir rapidement tout document nécessaire pour lui permettre de
poursuivre ses activités, de s’acquitter de ses obligations législatives
et de fournir toute information dont le BSIF pourrait avoir besoin
pour s’acquitter de son mandat au cas où le fournisseur de services
ne peut fournir le service.
7.2.4 Impartition à l’extérieur du Canada
Lorsque l’entente d’impartition importante entraîne la prestation
de services à l’extérieur du Canada, le programme de gestion des
risques de l’EF doit être étoffé pour tenir compte de toute préoccupation
additionnelle ayant trait au contexte économique et politique, à
l’avancement technologique et au profil de risque juridique et réglementaire
du territoire étranger.
7.3 Surveillance et supervision des ententes
d’impartition importantes
Toute EF recourant de façon importante à l’impartition doit élaborer,
mettre en œuvre et superviser des procédures pour surveiller et
contrôler les risques d’impartition en accord avec ses politiques
de gestion du risque d’impartition. Le degré de raffinement des
procédures doit correspondre à l’ampleur et à la complexité des
ententes d’impartition et combler les attentes de la présente ligne
directrice. La direction doit élaborer des rapports fondés sur les
activités de surveillance et de supervision de l’EF. Ces rapports
peuvent faire état du succès de l’entente d’impartition et de l’efficacité
du programme de gestion des risques, et ils peuvent être reflétés
dans les documents transmis à la haute direction de l’EF ou à l’agent principal ou au dirigeant principal de la succursale.
L’agent principal ou le dirigeant principal doit préparer ou examiner
des rapports sur les activités de surveillance et de supervision
de la succursale canadienne.
7.3.1 Liste centralisée de toutes les ententes
d’impartition importantes
L’EF doit conserver une liste centralisée de toutes ses ententes
d’impartition importantes. Une EF mère peut conserver une liste
au nom de ses filiales.
La liste doit renfermer des renseignements sur le nom du fournisseur
de services, le pays où le service est fourni, la date d’échéance
ou de renouvellement du marché ou de l’entente d’impartition, de
même que le montant estimé correspondant à la valeur du marché ou
de l’entente d’impartition. Un modèle de liste centralisée qu’une
EF pourrait employer se trouve à l’annexe 4. Cette liste doit continuellement
être mise à jour et faire partie des documents transmis à la haute direction de l’EF ou à l’agent principal ou au dirigeant
principal de la succursale. Sur demande, le BSIF doit avoir accès
en tout temps à cette liste.
7.3.2 Supervision des ententes d’impartition
L’EF doit superviser toutes les ententes d’impartition importantes
pour veiller à ce que le service soit fourni de la manière prévue
et conformément aux modalités du marché ou de l’entente d’impartition.
Cette supervision peut prendre la forme de rencontres formelles
périodiques avec le fournisseur de services, d’examens périodiques
des mesures de rendement de l’entente d’impartition, ou les deux.
L’EF doit signaler à son chargé de surveillance au BSIF dans
un délai raisonnable, tout événement fortement défavorable susceptible
d’avoir un effet appréciable sur la prestation du service.
L’EF doit examiner ses ententes d’impartition importantes pour
en assurer la conformité avec les politiques et les procédures sur
les risques d’impartition, de même qu’avec les attentes de la présente
ligne directrice. Cet examen doit être effectué de façon périodique
et être effectué par le service d’audit interne de l’EF,
un autre service d’examen indépendant à l’interne ou à l’extérieur,
pourvu qu’il possède des connaissances et des compétences suffisantes.
La haute direction de l’EF, ou l’agent principal ou le
dirigeant principal de la succursale, doit toujours conserver la
responsabilité globale de l’entente d’impartition.
Ces examens doivent porter sur les activités de gestion des risques
d’impartition de l’EF pour :
- veiller au respect des politiques et des procédures de gestion
des risques d’impartition;
- assurer un contrôle de gestion efficace des activités d’impartition;
- vérifier l’adéquation et l’exactitude des rapports d’information
de gestion;
- veiller à ce que le personnel chargé de la gestion des risques
d’impartition connaisse les politiques de l’EF à cet égard et
dispose de l’expertise nécessaire pour prendre des décisions efficaces
en accord avec ces politiques.
La direction doit ajuster la portée de l’examen selon la nature
des ententes d’impartition.
7.3.3 Supervision du fournisseur de services
Au moins une fois l’an, l’EF doit évaluer la capacité du fournisseur
de services de continuer de fournir le service de la manière prévue.
Cet examen tiendrait compte du niveau de risque et pourrait comprendre
une évaluation de la situation du fournisseur de services, y compris
sa solidité et ses perspectives financières (sauf dans les situations
touchant la société mère ou le siège d’une filiale ou d’une succursale
canadienne), de même que ses compétences techniques et le recours
à des sous-traitants principaux ainsi que leur rendement.
- FIN -
Annexe 1 - Exemples d’ententes d’impartition
La gamme d’ententes d’impartition est diversifiée et continue
de prendre de l’expansion. Elles peuvent notamment porter sur :
- la gestion et l’entretien des systèmes d’information (p. ex.,
saisie et traitement de données, centres de données, gestion des
locaux, soutien des utilisateurs, réseaux locaux, centres de dépannage);
- le traitement de documents (p. ex., chèques, reçus de cartes
de crédit, paiements de factures, relevés de compte bancaire,
autres paiements d’entreprise);
- le traitement des demandes (p. ex., polices d’assurance, prêts,
cartes de crédit);
- l’administration des polices (p. ex., perception des primes,
constitution de la police, facturation, avenants);
- l’administration des demandes d’indemnisation (p. ex., signalement
et règlement des sinistres);
- l’administration des prêts (p. ex., négociation et traitement
des prêts, gestion des biens donnés en nantissement, recouvrement
des mauvaises créances);
- la gestion des placements (p. ex., gestion des portefeuilles
et des liquidités);
- le marketing et la recherche (p. ex., développement des produits,
stockage et extraction des données, publicité, relations avec
les médias, centres d’appels, télémarketing);
- la gestion administrative (p. ex., virement électronique de
fonds, traitement de la paye, opérations d’intendance, contrôle
de la qualité, achats);
- l’administration des biens immobiliers (p. ex., entretien des
immeubles, négociation des baux, évaluation foncière, perception
des loyers);
- les services professionnels liés aux fonctions de gestion de
l’EF (p. ex., comptabilité, audit interne, actuariat);
- les ressources humaines (p. ex., administration des avantages
sociaux, recrutement).
De façon générale, la ligne directrice ne s’applique pas aux éléments
suivants :
- messagerie, poste régulière, services publics, téléphone;
- formation spécialisée;
- services consultatifs discrets (p. ex. services juridiques,
certains services de conseils en placements qui ne se traduisent
pas directement par des décisions d’investissement, évaluations
indépendantes, syndics de faillite);
- achat de biens, matériel, logiciels commerciaux et autres produits;
- examens d’audit indépendants;
- antécédents de crédit et enquêtes sur les antécédents, et les
services d’information;
- services d’information sur les marchés (p. ex., Bloomberg,
Moody’s);
- services d’experts-conseils indépendants;
- services que l’EF n’est pas en mesure d’offrir pour des motifs
juridiques;
- services d’impression;
- réparation et entretien d’immobilisations;
- offre et entretien de matériel de communication pris à bail;
- services d’agence de voyages et de transport;
- services de correspondant bancaire;
- entretien et appui de logiciels sous licence;
- aide temporaire et personnel contractuel;
- services de location de parcs automobiles;
- recrutement spécialisé;
- conférences à l’extérieur;
- ententes de compensation et de règlement entre les membres
ou les participants à des systèmes de compensation et de règlement
reconnus;
- vente de polices d’assurance par des agents ou des courtiers;
- cessions en assurance et en réassurance;
- groupement de prêts.
Annexe 2 - Exemples de questions permettant
d’évaluer l’importance relative d’une entente d’impartition
L’EF voudra sans doute examiner notamment les questions suivantes
pour évaluer l’importance relative d’une entente d’impartition donnée.
- Quelle est la relation entre l’activité et les opérations névralgiques
de l’EF?
- Quel est l’effet potentiel de l’entente d’impartition sur
les bénéfices, la solvabilité, la liquidité, le financement,
les fonds propres, la réputation, l’expertise interne et la capacité de
l’EF, la valeur de marque ou les systèmes de contrôles internes?
- Quelle est l’importance de l’entente quant à la réalisation
et la mise en œuvre des objectifs, de la stratégie commerciale
et des plans d’affaires de l’EF?
- Tout compte fait, dans quelle mesure l’EF a-t-elle recours
à un fournisseur de services donné? L’EF est-elle exposée à un
risque additionnel lié à l’impartition de plusieurs ententes à
un même fournisseur?
- Quelle est la proportion des dépenses contractuelles par rapport
à l’ensemble des frais autres que d’intérêt de l’EF ou du secteur
d’activité?
- Si le fournisseur de services est incapable de fournir le service
pendant une période donnée :
- Quelles sont les répercussions prévues sur les clients de l’EF?
- Quelles sont les répercussions potentielles sur la réputation de l’EF?
- Cela aurait-il des répercussions importantes sur le profil de risque
de l’EF?
- L’EF pourrait-elle retenir les services d’un autre fournisseur?
Combien de temps cela prendrait-il, et combien cela coûterait-il?
Annexe 3 - Diligence raisonnable des fournisseurs
de services
La diligence raisonnable des fournisseurs de services dont il
est question à la section 7.1 peut notamment inclure l’examen du
profil du fournisseur à la lumière des facteurs suivants :
- l’expérience et les compétences techniques du fournisseur nécessaires
à la mise en œuvre et au soutien de l’activité impartie (cela
peut comprendre un examen de l’expérience et des compétences techniques
d’un sous-traitant important lorsque possible);
- la solidité financière (p. ex. les plus récents états financiers
audités et d’autres renseignements pertinents, au meilleur de
la connaissance du fournisseur de services ;
- la réputation professionnelle, l’historique des plaintes, le
degré de conformité et les litiges en instance;
- les contrôles internes, les rapports et le cadre de supervision;
- les plans de reprise des activités et les mesures d’urgence,
y compris les essais de remise en service de la technologie, afin
d’assurer la continuité des activités d’affaires imparties devant
d’éventuels problèmes ou événements qui affecteraient les opérations
du fournisseur tels que les problèmes techniques, désastres naturels,
incapacité d’un sous- traitant important de livrer des services
se rapportant à l’activité impartie, et des situations où des
demandes extraordinaires seraient placées sur un fournisseur de
services;
- le recours à des sous-traitants, et son degré de réussite;
- la protection d’assurance;
- les objectifs d’affaires, les politiques de ressources humaines,
les philosophies de service, la culture d’entreprise et leur concordance
avec ceux de l’EF.
Annexe 4 - Modèle de liste centralisée
Nom du fournisseur |
Description sommaire de l’entente |
Type d’entente (p. ex ., groupe SMIFR, groupe EF, entente
avec un tiers) |
Le ou les pays d’origine des services fournis |
Date d’échéance ou de renouvellement du contrat ou de l’entente |
Montant annuel prévu pour l’(les) entente(s) dans les années
à venir |
La valeur estimée (en dollars) du contrat ou de l’entente |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|