Outil d’évaluation - données sur l’exigence de fonds propres au titre du risque opérationnel

L’institution utilise des données historiques internes de haute qualité sur les pertes sur 10 ans dans le calcul des exigences de fonds propres réglementaires.

NFP Chap. 3 (27) (a)

L’institution montre qu’elle dispose de robustes procédures et processus d’identification, de collecte et de traitement des données sur les pertes internes et qu’elle les a documentés.

NFP Chap. 3 (27) (b)

L’institution documente ses critères et montre qu’elle dispose des processus de distribution des données historiques sur les pertes internes à l’échelle de l’organisation entre les catégories d’événement de niveau 1 de Bâle définies à l’annexe 3-2 de la ligne directrice sur les NFP du BSIF.

NFP Chap. 3 (27) (c) et annexe 3-2

Les données sur les pertes internes sont exhaustives et prennent en compte toutes les activités et expositions importantes de tous les sous-systèmes et géographies concernés. L’institution montre qu’elle est en mesure de déterminer et de suivre à la trace toute partie de l’institution dans laquelle les données sur les pertes n’ont pas été, ni le sont actuellement, recueillies et incluses dans le fichier de données.

NFP Chap. 3 (27) (d)

Toutes les pertes opérationnelles ayant trait à la définition du risque opérationnel, telles qu’elles sont définies à la section 3.1 du chapitre 3 des NFP, figurent dans la collection des données sur les pertes.

NFP Chap. 3 (2)

Pour les besoins du calcul des fonds propres, l’institution a fixé un seuil minimal de 30 000 $ CAN (pertes nettes après le recouvrement) pour chaque événement générateur de pertes aux fins de collecte de données sur les pertes internes et de calcul des pertes annuelles moyennes. Elle montre qu’elle dispose des processus d’identification et de mesure lorsque ce seuil a été atteint.

NFP Chap. 3 (27) (e)

L’institution montre qu’elle dispose de processus documentés pour i) calculer le pourcentage de données sur le total des pertes qui est estimé; et ii) cerner le moment où elle est sur le point d’atteindre ou dépasse le seuil d’importance de l’exhaustivité des données sur les pertes, comme le précise le chapitre 3 de la ligne directrice sur les NFP du BSIF.

NFP Chap. 3 (27) (d)

L’institution montre qu’elle dispose de processus efficaces et documentés de collecte de données relatives aux dates de référence des événements de risque opérationnel. Les dates de référence doivent comprendre la date d’occurrence, la date de découverte et la date de comptabilisation.

NFP Chap. 3 (27) (f)

L’institution montre qu’elle dispose de processus efficaces et documentés de collecte de données sur les recouvrements des montants bruts des pertes ainsi que des éléments décrivant les facteurs ou causes de l’événement ayant conduit à ces pertes. Le niveau de détail doit être adapté à l’ampleur de la perte brute.

NFP Chap. 3 (27) (f)

L’institution montre qu’elle dispose de contrôles et d’une gouvernance concernant l’inclusion ou l’exclusion de certains événements de perte opérationnelle (soit ceux liés aux risques de crédit ou de marché) conformément à la section 3.4.3 du chapitre 3 des NFP.

NFP Chap. 3 (27) (g) et (h)

L’institution montre qu’elle dispose de processus efficaces permettant d’examiner de façon indépendante l’exhaustivité et l’exactitude des données sur les pertes. Elle montre aussi qu’elle dispose de contrôles efficaces permettant d’examiner de façon indépendante les processus d’identification, de collecte et de traitement des données sur les pertes internes. Ces processus comprennent tout au moins une analyse critique régulière, efficace et indépendante par la deuxième ligne de défense de l’institution et un examen indépendant périodique par la troisième ligne de défense.

NFP Chap. 3 (27) (i)

L’institution montre qu’elle dispose de politiques et de procédures documentées d’application de la définition de pertes brutes, de date de référence, des pertes groupées, du recouvrement et de perte nette dans les ensembles de données internes sur les pertes opérationnelles. De plus, elle montre que les définitions correspondent à celles indiquées dans le chapitre 3 de la ligne directrice des NFP.

NFP Chap. 3 (28) et (29)

L’institution montre qu’elle dispose de processus documentés et efficaces pour identifier les montants de pertes brutes, les recouvrements qui ne proviennent pas d’une assurance et les recouvrements obtenus d’assureurs pour tous les cas de perte opérationnelle.

NFP Chap. 3 (30)

Les recouvrements ne peuvent être utilisés pour réduire les pertes dans le calcul des exigences de fonds propres qu’après réception par l’institution des paiements correspondants (p. ex., les créances à recevoir ne sont pas considérées comme des recouvrements).

NFP Chap. 3 (30)

L’institution montre qu’elle dispose de processus documentés et efficaces pour tenir compte, dans le calcul de la perte brute au titre des exigences de fonds propres, des éléments suivants (conformément aux définitions énoncées dans les NFP) :

1. les charges directes figurant au compte de résultat de l’institution ainsi que les dépréciations liées à l’événement de risque opérationnel;
2. les coûts résultant de cet événement, y compris les dépenses externes en relation directe avec ce dernier et les coûts de réparation ou de remplacement engagés pour revenir à la situation préalable à l’événement, ainsi que les revenus non perçus en raison d'un tel événement qui peuvent être quantifiés sur la base des obligations contractuelles du client de l'institution;
3. les provisions ou réserves portées au compte de résultat découlant de l’impact potentiel des pertes opérationnelles;
4. les pertes en attente d’affectation;
5. les pertes dues au calendrier.

NFP Chap. 3 (31)

L’institution montre qu’elle dispose de processus documentés et efficaces pour exclure, dans le calcul de la perte brute au titre des exigences de fonds propres, les éléments suivants :

1. les coûts de contrats de maintenance générale des immobilisations corporelles;
2. les dépenses internes ou externes visant à relancer les activités après des pertes de nature opérationnelle, mises à niveau, perfectionnements, initiatives ou améliorations de l’évaluation des risques;
3. les primes d’assurance.

NFP Chap. 3 (32)

L’institution montre que son ensemble de données sur les pertes inclut la date de comptabilisation. Pour y intégrer les pertes liées à des événements juridiques, elle utilise une date qui n’est pas postérieure à la date de comptabilisation. Pour ce type de pertes, la date de comptabilisation est la date de constitution d’une réserve légale en regard de la perte probable estimée figurant au compte de résultat. Dans le cas de pertes découlant de revenus non perçus, les institutions peuvent utiliser la date à laquelle les revenus auraient dû être perçus ou celle à laquelle la décision de ne pas percevoir les revenus a été prise.

NFP Chap. 3 (33)

L’institution montre qu’elle dispose de processus documentés et efficaces pour s’assurer que les pertes causées par un même événement opérationnel ou par des événements opérationnels liés dans le temps, mais enregistrées dans les comptes sur plusieurs années, sont affectées aux années correspondantes dans la base de données sur les pertes, conformément à leur traitement comptable.

NFP Chap. 3 (34)

L’institution montre qu’elle dispose de contrôles et de processus de gouvernance documentés et efficaces pour i) déterminer l’exclusion de certaines pertes d’ordre opérationnel du calcul de la composante pertes, lesquelles répondent aux critères indiqués à la section 3.4.5 du chapitre 3 des NFP et ii) s’assurer d’obtenir toute approbation nécessaire, notamment celle du BSIF.

NFP Chap. 3 (35) et (37)

L’institution montre qu’elle dispose de processus documentés et efficaces pour déclarer le montant total des pertes et le nombre d’exclusions conformément aux exigences de communication au titre du troisième pilier du BSIF.

NFP Chap. 3 (36)

L’institution montre qu’elle dispose de politiques et de processus documentés et mis en oeuvre de manière efficace prévoyant l’inclusion d’événements générateurs de pertes historiques découlant de toute fusion ou acquisition d’entreprises au cours des dix dernières années. Les données sur les pertes provenant des fusions ou acquisitions d’entreprises répondent aux attentes du BSIF, y compris celles de la ligne directrice NFP.

NFP Chap. 3 (40)

L’institution montre qu’elle dispose de processus documentés et efficaces applicables à l’estimation des données historiques sur les pertes pour chacune des années (des dix dernières années) pour laquelle elle manque de données de haute qualité, conformément aux méthodes détaillées à la section 3.4.7 du chapitre 3 des NFP.

NFP Chap. 3 (40) (a)

L’institution montre qu’elle dispose de processus documentés et efficaces applicables à l’estimation des montants des pertes liées au risque opérationnel pour les entités fusionnées ou les entreprises acquises (si la collecte de données sur les pertes réelles n’est pas immédiatement réalisable), conformément aux méthodes détaillées à la section 3.4.7 du chapitre 3 des NFP.

NFP Chap. 3 (40) (b)

L’institution a documenté des normes validées relatives aux niveaux de service (ententes, barèmes, etc.) qui couvrent implicitement ou explicitement (si les données sur les pertes internes forment un sous-ensemble de processus visés par les normes) les processus internes comme les processus externalisés relatifs aux données sur l’exigence de fonds propres au titre du risque opérationnel, ainsi que des politiques relatives à la confidentialité, à l’intégrité et à la disponibilité des données.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 1

Les pratiques de notification et les procédures relatives aux données de l’institution sont dûment documentées et soumises à une validation aux critères très stricts qui est alignée sur les autres activités indépendantes de contrôle relevant des cadres de contrôle de l’institution, et y est intégrée.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 1

La haute direction de l’institution a examiné et approuvé, au moins chaque année, les procédures de collecte et de notification des données sur l’exigence de fonds propres au titre du risque opérationnel applicables aux données actuelles et historiques.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 1

La haute direction connaît et comprend les éléments de nature à nuire à la qualité des données sur l’exigence de fonds propres au titre du risque opérationnel utilisées dans le calcul de cette exigence au moyen de l’approche standard (AS).

Le processus de vérification préalable de l’institution en cas de fusion ou d’acquisition comprend une évaluation des capacités de collecte de données sur l’exigence de fonds propres au titre du risque opérationnel et des pratiques de notification de l’entité acquise. En l’occurrence, l’institution a établi un plan visant à intégrer et aligner au sein de son propre dispositif les nouvelles capacités de collecte de données sur l’exigence de fonds propres au titre du risque opérationnel et les pratiques de notification, et élaboré un processus de notification uniforme en tant qu’entité unique.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 1

L’institution a défini des rôles et des responsabilités relatifs à la propriété et à la qualité des données et de l’information sur l’exigence de fonds propres au titre du risque opérationnel aussi bien pour les fonctions métier que pour la fonction informatique.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 2

Les propriétaires des données sur l’exigence de fonds propres au titre du risque opérationnel (fonctions métier et informatique), en partenariat avec les gestionnaires de risque et d'autres fonctions de deuxième ligne pertinentes, ont mis en place un processus pour veiller à ce que des contrôles adéquats soient appliqués tout au long du cycle de vie des données sur les fonds propres pour risque opérationnel et à ce qu’ils portent sur tous les aspects de l’infrastructure technologique.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 2

L’institution a établi des taxonomies et une architecture de données intégrées sur les pertes conformément aux annexes 3-1 (Indicateur d'activité) et 3-2 (Niveau 1) (données sur les pertes) de la ligne directrice NFP. L’architecture des données sur l’exigence de fonds propres au titre du risque opérationnel comprend notamment les éléments suivants :

1. la détermination de toutes les règles de mise en correspondance et de tous les critères de filtrage;
2. les règles de nomenclature uniformes applicables aux données sur les pertes;
3. le recours aux indicateurs uniques ou aux règles de nomenclature uniformes applicables aux données;
4. des métadonnées établies (p. ex., les types de données à sauvegarder, les types de données, la fourchette valide des valeurs de données).

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 2

L’institution a documenté de manière exhaustive les flux de données de bout en bout et en a prouvé l’efficacité - notamment les contrôles clés des points de défaillance critiques - pour faciliter les processus de gestion des données et l’encadrement des données nécessaires au calcul de l’exigence de fonds propres au titre du risque opérationnel au moyen de l’AS. Cette démarche suppose, à tout le moins :

1. le recensement de tous les systèmes, les flux de données, les points de contrôle, les processus et les rapports;
2. le recensement de tous les processus manuels;
3. le recensement de toutes les données à collecter et à gérer pour calculer le multiplicateur des pertes internes et l’indicateur d’activité.

Si l’institution dispose de plusieurs systèmes de gestion des flux de bout en bout, elle est en mesure de montrer la correspondance et les approches de traitement et d’agrégation des données sur l’exigence de fonds propres au titre du risque opérationnel.

L’institution dispose de processus bien documentés de collecte des données sur l’exigence de fonds propres au titre du risque opérationnel. Lorsqu’elle utilise des processus manuels ou des applications bureautiques (tableurs ou bases de données des utilisateurs finaux, par exemple) pour collecter des données sur les pertes internes, l’institution met en place des facteurs d’atténuation efficaces (politiques et procédures relatives à l’informatique d’utilisateur final, par exemple) ainsi que d’autres moyens de contrôle efficaces appliqués de façon systématique à la tenue de ces données.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 3

Des contrôles adéquats sont appliqués tout au long du cycle de vie des données. Les données sur l’exigence de fonds propres au titre du risque opérationnel sont correctement saisies, actualisées et conformes aux définitions des données.

Les données sur l’exigence de fonds propres au titre du risque opérationnel sont rapprochées ou étayées avec les sources, y compris avec les données comptables si besoin est, et l’institution est en mesure d’expliquer toutes les différences importantes.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 3

Le personnel intéressé de l'institution dispose d’un accès suffisant aux données sur l’exigence de fonds propres au titre du risque opérationnel pour pouvoir les agréger, les valider et les rapprocher convenablement avec les rapports correspondants.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 3

L’institution a conçu et instauré des processus de mesure et de surveillance pour garantir l’exactitude et l’intégrité des données sur l’exigence de fonds propres au titre du risque opérationnel.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 3

L’institution a établi et documenté des processus, des paramètres et des seuils pour mesurer l’exactitude et l’intégrité des données actuelles et historiques sur l’exigence de fonds propres au titre du risque opérationnel. Elle montre aussi qu’elle dispose de processus pour déterminer le moment où les mesures s’approchent des seuils définis.

L’institution montre qu’elle dispose de processus documentés pour cerner les limites inhérentes aux données historiques et actuelles sur l’exigence de fonds propres au titre du risque opérationnel.

L’institution montre qu’elle a mis en place des dispositifs de remontée hiérarchique pour établir des plans d’action afin de rétablir la qualité des données sur l’exigence de fonds propres au titre du risque opérationnel.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 3

L’institution montre qu’elle dispose de processus documentés et efficaces pour mesurer et surveiller l’exhaustivité de toutes les données historiques et actuelles sur l’exigence de fonds propres au titre du risque opérationnel, notamment des paramètres mesurables et des seuils pour évaluer l’exhaustivité.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 4

L’institution montre qu’elle a mis en place des dispositifs et des processus de remontée hiérarchiques documentés et efficaces pour établir des plans d’action afin de corriger le manque d’exhaustivité.

L’institution montre qu’elle a défini et documenté des exigences pour déclarer rapidement les données sur l’exigence de fonds propres au titre du risque opérationnel. En ce qui concerne les données sur les pertes opérationnelles, ces exigences doivent tenir compte de la nature de l’événement générateur de pertes mesuré en fonction des caractéristiques et du profil de risque global de l’institution. Les données sur les pertes internes sont décalées d’un trimestre alors que celles sur l’IA sont notifiées sur la base du plus récent trimestre.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 5

L’institution montre que ses capacités d’agrégation des données sur l’exigence de fonds propres au titre du risque opérationnel lui permettent de produire avec diligence des informations agrégées satisfaisant toutes les exigences internes de notification des pertes internes et des fonds propres.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 5

L’institution montre qu’elle dispose de moyens suffisants pour personnaliser les données sur les pertes internes en fonction des besoins des utilisateurs (tableaux de bord, éléments importants à retenir, anomalies, par exemple), lui permettant d’accéder à des informations plus détaillées au besoin et de produire rapidement des synthèses.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 6

L’institution montre que ses processus d’agrégation des données sur l’exigence de fonds propres au titre du risque opérationnel lui permettent d’incorporer de nouveaux éléments à l’organisation de l’activité ou aux facteurs externes qui influencent les besoins en matière de renseignements de l'institution.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 6

L’institution montre qu’elle a défini des exigences et des processus de rapprochement des rapports avec les données sur les pertes internes et d’autres sources faisant autorité.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 7

Les processus de rapprochement supposent la justification et la notification des erreurs ou des problèmes d’intégrité des données ainsi que l’établissement de plans d’intervention en conséquence.

L’institution montre qu’elle dispose de procédures intégrées d’identification, de notification et d’explication des erreurs ou problèmes d’intégrité des données sur l’exigence de fonds propres au titre du risque opérationnel, par le biais de rapports exceptionnels ou de l'assurance de la qualité, et de mesure et de communication de l’exactitude et de l’intégrité des données.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 7

L’institution montre qu’elle a établi des seuils d’importance relatifs à l’exactitude, notamment les seuils indiquant qu’il faut recourir à la remontée hiérarchique. Le cas échéant, elle a aussi établi des plans d’action pour corriger tout manquement.

L’institution montre qu’elle a établi et instauré des exigences mesurables applicables à l’exactitude des données sur l’exigence de fonds propres au titre du risque opérationnel.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 7

L’institution montre qu’elle a établi des exigences en matière de déclaration qui s’appliquent aux données sur l’exigence de fonds propres au titre du risque opérationnel et qui sont les mieux adaptées à son modèle opérationnel et à son profil de risque. Les rapports sur la gestion du risque pour les données sur les pertes comportent notamment des informations sur les expositions relatives à tous les risques (p. ex., type d’événement) ainsi que sur toutes les grandes composantes de ceux-ci.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 8

L’institution montre que sa haute direction reçoit suffisamment de renseignements pour confirmer l'intégrité de l'exigence de fonds propres au titre du risque opérationnel.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 9

L’institution montre qu’elle a dressé un inventaire de ses données sur l’exigence de fonds propres au titre du risque opérationnel et mis au point une classification qui fait référence aux normes de fonds propres et au Relevé des normes de fonds propres de Bâle utilisés pour rédiger les rapports.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 9

L’institution montre qu’elle confirme régulièrement aux destinataires que les informations contenues dans les rapports sur les pertes opérationnelles sont pertinentes et adaptées, tant sur le plan de la quantité que sur le plan de la qualité, de manière à appuyer les processus de gouvernance et de prise de décision.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 9

L’institution montre qu’elle évalue périodiquement l’objet de chaque rapport en lien avec la communication de l’exigence de fonds propres au titre du risque opérationnel, dont les données sur les pertes internes, et veille à ce que les rapports requis puissent être établis en situation normale comme en période de tensions ou de crise.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 10

L’institution montre qu’elle a testé sa capacité à produire des rapports fiables dans les délais impartis et qu’elle respecte ces délais.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 10

L’institution montre qu’elle peut, en période de tensions ou de crise, disposer dans un délai très court de tous les rapports pertinents contenant des données sur l’exigence de fonds propres au titre du risque opérationnel, notamment celles sur les pertes internes, pour que la direction puisse gérer efficacement les risques en évolution.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 10

L’institution montre qu’elle dispose de procédures documentées lui permettant de collecter et d’analyser rapidement les données sur l’exigence de fonds propres au titre du risque opérationnel et de diffuser les rapports en temps utile, tout en conciliant cette recommandation avec la nécessité de garantir la confidentialité des données, s’il y a lieu.

Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, Principe 11

L’institution montre qu’elle dispose de politiques et procédures documentées sur le stockage, la sécurité, la conservation et l’archivage des données sur l’exigence de fonds propres au titre du risque opérationnel. Il s’agit, entre autres, de procédures relatives à la destruction logique et physique des supports et de périphériques de stockage de données, le cas échéant.

ATD, section IV

L’institution dispose de politiques et procédures documentées sur la conservation des copies de sauvegarde des fichiers et des bases de données utiles, de manière à ce que les données sur l’exigence de fonds propres au titre du risque opérationnel soient sécurisées et aisément accessibles.

ATD, section IV

L’institution montre qu’elle dispose de processus pour veiller à ce que les versions électroniques de l’ensemble des données utiles sur l’exigence de fonds propres au titre du risque opérationnel soient accessibles, en ce sens que leur format offre la souplesse de recherche, d’agrégation, de notification et de consultation au Canada.

ATD, section IV

L’institution montre qu’elle dispose de processus lui permettant d’assurer une mise en correspondance cohérente des données du grand livre général ou des relevés pertinents du BSIF avec les composantes de l’IA. Il s’agit notamment d’un processus permettant de s’assurer que les produits d’honoraires et de commissions sont déclarés sur une base brute, et que les charges d’honoraires et de commissions comprennent toutes les charges pertinentes, y compris celles déduites des produits, dans les états financiers de l’institution.

ATD, section VI

L’institution montre qu’elle dispose d’un processus qui facilite le rapprochement de l’IA déclaré dans le Relevé des normes de fonds propres du BSIF et du poste Revenu net d’intérêt et autres revenus, tel qu’il est défini dans le relevé P3 du BSIF. Ce rapprochement est effectué tous les trimestres.

ATD, section VI

L’institution montre qu’elle effectue des examens périodiques indépendants des processus qui sous-tendent le calcul et la notification de la composante de l’IA. Cette démarche suppose tout au moins une analyse critique régulière, efficace et indépendante par la deuxième ligne de défense de l’institution ainsi que des examens indépendants périodiques par la troisième ligne de défense.

ATD, section VI

L’institution montre qu’elle dispose de processus d’exclusion des données de l’IA relatives aux activités cédées, y compris l’agrément du BSIF.

NFP Chap. 3 (38)

L’institution a établi des processus de déclaration des activités cédées qui sont exclues de l’IA, conformément aux exigences de communication au titre du troisième pilier du BSIF.

NFP Chap. 3 (38)

L’institution montre qu’elle dispose de processus pour tenir compte des fusions ou acquisitions d’entreprises au cours des trois dernières années dans l’IA, comme le précise la section 3.4.7 du chapitre 3 des NFP.

NFP Chap. 3 (39)