Le surintendant auxiliaire du Secteur des mesures de réglementation, Tolga Yalkin, aborde la question des risques non financiers

Merci de participer au lancement de la version à l’étude de notre ligne directrice sur l’intégrité et la sécurité. Nous avons également publié aujourd’hui une nouvelle version à l’étude de la ligne directrice sur la résilience opérationnelle et sur la gestion du risque opérationnel. Le lancement simultané de ces deux lignes directrices souligne l’interrelation étroite qui existe entre l’intégrité et la sécurité de même que le risque opérationnel et la résilience opérationnelle.

Avant tout, je tiens à souligner que nous sommes réunis aujourd’hui sur le territoire de peuples autochtones. Je me trouve sur le territoire traditionnel non cédé du peuple algonquin anichinabé qui habite ce territoire et en prend soin depuis des millénaires. Je suis reconnaissant de pouvoir être présent sur ce territoire.

Pour commencer, j’aimerais donner un peu de contexte.

Nous estimons que les risques financiers sont fondamentaux. La prise en compte directe et efficace de ce que nous appelons les 4 C en anglais : capital, cash, credit, contingency (donc les fonds propres, les liquidités, le crédit et les mesures d’urgence) est de la plus haute importance pour la gestion prudente du risque par les institutions financières.

Cela dit, nous reconnaissons depuis quelque temps que les risques qui ne sont pas directement de nature financière – le cyberrisque et le risque lié aux technologies, le risque lié aux tiers, le risque lié à la culture et à la conformité – peuvent tout autant frapper au cœur de la sûreté et de la solidité des institutions financières.

De façon extrême, lorsque ces risques se concrétisent, la réponse des institutions financières dépend de la maturité de leur résilience opérationnelle et de leurs pratiques de gestion du risque opérationnel, qui les aide à résister à des événements perturbateurs, à s’y adapter et à s’en remettre tout en continuant à exercer leurs activités essentielles. La version révisée de la ligne directrice E-21 aborde directement ces aspects et les renforce.

Les risques non financiers comme ceux que je viens de nommer ont pris de l’ampleur, et, à titre d’organisme de réglementation, nous y avons réagi. Je pense par exemple aux changements climatiques, qui comportent des risques physiques et de transition, et la numérisation, avec les risques que posent les cryptomonnaies stables, les cryptomonnaies, l’intelligence artificielle et l’informatique quantique.

Les récentes modifications qui élargissent notre mandat afin d’y inclure à l’intégrité et la sécurité reflètent la continuité de cette tendance.

Vous vous demandez peut‑être ce que sont l’intégrité et la sécurité.

L’intégrité, c’est la mesure dans laquelle ce que fait une organisation – ses actions, ses omissions et ses décisions – est conforme tant à la lettre qu’à l’esprit des normes éthiques, des lois et des règlements.

Qui dit sécurité dit protection. Si nous bénéficions de la sécurité, nous sommes protégés contre les menaces. Ces menaces peuvent être physiques et viser des biens ou des personnes. Elles peuvent également être électroniques et cibler des actifs technologiques, des données et des renseignements.

Tout comme dans le cas des autres risques non financiers, les risques liés à l’intégrité et à la sécurité, s’ils sont négligés, peuvent menacer la sûreté et la solidité des institutions financières.

Même si, dans une certaine mesure, l’intégrité et la sécurité englobent de nouveaux domaines de risque pour nous, en tant qu’organisme de réglementation, ils couvrent en bonne partie des domaines existants que nous réglementons et surveillons déjà. Pensons par exemple aux domaines dont traitent nos lignes directrices  E-17, sur l’évaluation des antécédents, et B‑13, sur le risque lié aux technologies et le cyberrisque.

Cela dit, les récentes modifications à notre mandat montrent clairement que nous devons maintenant faire progresser la gestion de ces risques sans égard à leur lien avec la santé financière globale des institutions que nous réglementons.

Il s’agit là d’un changement pour nous, en tant qu’organisme de réglementation. Nous continuerons de prendre en compte les conséquences de tels risques sur la sûreté et la solidité, mais nous accepterons désormais qu’ils soient foncièrement importants en soi.

Bien qu’elle constitue un changement, cette approche est conforme à notre principale raison d’être, soit de contribuer à la confiance du public envers le système financier canadien.

La confiance du public repose non seulement sur le fait de savoir que les institutions financières sont et demeureront en bonne santé financière, mais aussi sur le fait de savoir qu’elles mènent leurs activités de manière intègre et qu’elles tiennent compte des menaces qui visent à miner les services qu’elles offrent ou à compromettre les données dont elles disposent.

Vous vous demandez peut‑être sur quoi nous nous attendons à ce que les institutions financières s’attardent pour gérer les risques liés à l’intégrité et à la sécurité.

En ce qui touche l’intégrité, elles devraient surtout :

• s’assurer de la bonne moralité de leurs administrateurs et hauts dirigeants;
• promouvoir une culture qui souligne l’importance d’un comportement éthique;
• soumettre leurs décisions à une gouvernance appropriée;
• assurer la conformité des décisions avec les normes éthiques, les lois et les règlements.

La sécurité consiste à veiller à ce que les locaux, les personnes, les actifs technologiques, les données et l’information soient protégés contre les menaces, ce qui inclut les menaces envers les tiers et leurs sous-traitants.

Des programmes de saine gestion du risque opérationnel et de résilience opérationnelle qui répondent aux attentes énoncées dans la version révisée de notre ligne directrice E-21 permettent de réduire la vulnérabilité d’une institution aux menaces qui pourraient perturber ses activités essentielles, que ce soit de façon évidente ou clandestine.

Nous regroupons l’intégrité et la sécurité parce qu’elles sont intrinsèquement liées. Les organisations qui agissent avec intégrité sont moins vulnérables aux menaces pour leur sécurité. De plus, outre leurs autres conséquences indésirables, les menaces pour la sécurité qui se concrétisent peuvent compromettre l’intégrité.

Comme je l’ai dit, même si la version à l’étude de la ligne directrice sur l’intégrité et la sécurité que nous publions aujourd’hui couvre de nouveaux domaines de risque, elle cible en bonne partie les pratiques existantes de gestion des risques non financiers, ce qui signifie que les institutions financières ont une base sur laquelle elles peuvent s’appuyer.

La ligne directrice B‑13, sur la gestion du risque lié aux technologies et du cyberrisque, en est un bon exemple, mais nous pouvons aussi penser :

• à la ligne directrice E‑17 sur la vérification des antécédents;
• à la ligne directrice B‑10 sur la gestion du risque lié aux tiers;
• à la ligne directrice E‑13 sur la gestion de la conformité à la réglementation;
• à notre actuelle ligne directrice E‑21 sur la gestion du risque opérationnel.

Par ailleurs, bon nombre d’institutions ont déjà pris des mesures qui les orientent vers ces attentes nouvelles ou en évolution. Prenons l’exemple des codes de déontologie, dont la mise en place est déjà attendue dans le cadre de notre ligne directrice sur la gouvernance d’entreprise.

Cela dit, certaines de ces mesures pourraient ne pas être aussi au point que nous le souhaiterions. Par conséquent, nous avons établi des attentes et nous continuerons de le faire progressivement avec plus de précision dans l’avenir.

Vous vous demandez peut‑être ce qu’il y a de nouveau, en fin de compte. Vous ne serez pas surpris de savoir que nous renforcerons nos attentes existantes dans plusieurs domaines clés – ou que nous en créerons de nouvelles.

• Premièrement, la moralité des administrateurs et de la haute direction est un nouveau domaine pour nous. La moralité des personnes qui ont le plus de pouvoir et d’influence au sein des institutions financières est directement liée à l’intégrité.

• Deuxièmement, même si nous avons une version à l’étude de notre ligne directrice sur le risque lié à la culture, nous soulignons que certains éléments de toute culture acceptable doivent tenir compte de l’intégrité.

• Troisièmement, nos attentes à l’égard de la conformité sont élargies : outre le respect de la lettre des exigences, elles engloberont désormais son esprit également.

• Quatrièmement, même si la plupart des organisations auront déjà mis en place des politiques et des procédures concernant la sécurité physique, nous énonçons des attentes explicites applicables notamment aux immeubles, au stockage de fichiers et aux contrôles de sécurité.

• Cinquièmement, pour donner suite à la ligne directrice B-13, nous avons ajouté des précisions supplémentaires à la description de ce qui constitue des actes malveillants, en accordant une attention particulière à l’abus d’influence et à l’ingérence étrangère.

• Sixièmement, nous avons élaboré de nouvelles attentes en matière de classification des données et de l’accès du personnel à celles-ci.

• Septièmement, nous avons rehaussé nos attentes à l’égard des tiers, pour tenir compte de la sécurité et de la vulnérabilité à l’influence indue, à l’ingérence étrangère et aux activités malveillantes, de même qu’à leur atténuation.

• Enfin, nous avons explicitement intégré une attente selon laquelle les autorités judiciaires doivent être informées si l’on soupçonne l’une ou l’autre de ces activités.

Comme je l’ai dit, et cela fait partie intégrante des éléments que j’ai abordés, ces changements ne peuvent pas tous être apportés en même temps, et ils ne le seront pas. Il faudra du temps pour élaborer et mettre en place la plupart d’entre eux, et nous en tiendrons compte lorsque nous publierons la version finale de la ligne directrice sur l’intégrité et la sécurité.

Nous sommes le premier organisme de réglementation prudentielle au monde à entrer dans ce domaine aussi directement. Nous avons donc l’intention de suivre un programme ambitieux, mais à un rythme mesuré.

Vous vous demandez sans doute comment et quand nous évaluerons l’intégrité et la sécurité des institutions financières. Je peux en parler brièvement.

Premièrement, comme je l’ai expliqué, cette nouvelle ligne directrice touche plusieurs domaines de risque nouveaux ou existants d’une manière différente. Nous ne nous attendons pas à ce que les institutions financières mettent immédiatement en œuvre tous les éléments. Par contre, voici à quoi nous nous attendons à ce qu’elles se conforment :

• aux attentes existantes énoncées dans les lignes directrices pertinentes auxquelles renvoie la nouvelle ligne directrice, comme la ligne directrice E‑17, sur l’évaluation des antécédents, la ligne directrice E‑13, sur la gestion de la conformité à la réglementation, ainsi que la ligne directrice sur la gouvernance d’entreprise;

• aux exigences propres à cette nouvelle ligne directrice, notamment pour ce qui est de signaler rapidement aux autorités judiciaires les soupçons d’abus d’influence, d’ingérence étrangère ou d’activité malveillante.

Nous ne nous attendrons pas à ce qu’elles se conforment immédiatement :

• aux nouvelles attentes prévues en lien avec des domaines de risque pour lesquels nous ne disposons pas encore de suffisamment de consignes spécifiques, par exemple, concernant la moralité, au‑delà de celles de la ligne directrice E‑17 sur l’évaluation des antécédents;

• aux attentes des consignes existantes avant leur date d’entrée en vigueur.

Deuxièmement, la loi exige que nous rendions compte au ministre des Finances de l’état des politiques d’intégrité et de sécurité des institutions financières.

Nous devrons donc interroger les institutions à propos d’une gamme de politiques et de procédures, qui pourraient ou non être en place.

Nous ne posons pas ces questions pour évaluer les institutions au regard de ces nouvelles attentes dès leur émission. Il s’agit de recueillir des renseignements dont nous avons besoin à des fins de déclaration. Cela nous permettra aussi de cerner où sont les lacunes à l’échelle du secteur et de déterminer comment faire progresser nos travaux dans ce domaine.

Quels sont donc les principaux points que je vous invite à garder en mémoire aujourd’hui?

Il y en a trois :

• Un : bien que ce nouvel accent mis sur l’intégrité et la sécurité constitue un changement pour nous, en tant qu’organisme de réglementation, il reflète la continuité et l’expansion de l’accent que nous mettions précédemment sur le risque non financier.

• Deux : l’insistance sur l’intégrité et la sécurité est au cœur de notre mandat et de notre raison d’être, soit de contribuer à la confiance du public envers le système financier canadien.

• Trois : la poursuite de nos travaux communs dans ce domaine nécessitera un effort soutenu. La version à l’étude de la ligne directrice que nous publions aujourd’hui en est le point de départ.

Je vous remercie de votre attention.