Propertiés du document
- Type de publication : Lettre
- Date : Le 6 décembre 2022
- Destinataires : Toutes les institutions financières fédérales (IFF)
En juillet 2021, le BSIF a lancé une consultation sur la perspective qu’il devrait adopter à l’égard du risque opérationnel et de la résilience opérationnelle dans le contexte de son cadre de consignes fondées sur des principes. À la lumière des commentaires reçus, le BSIF a proposé de réviser la ligne directrice E-21, Gestion du risque opérationnel, afin qu’elle accorde une plus grande importance à la résilience opérationnelle, tout en continuant de renforcer ses attentes à l’égard de la gestion du risque opérationnel.
La résilience opérationnelle exige :
- Un recensement des activités essentielles des IFF et une schématisation des dépendances internes et externes (personnes, systèmes, processus, tiers, installations, etc.) nécessaires au soutien des activités essentielles
- L’établissement de la tolérance aux perturbations qui s’appliquera à chacune des activités essentielles des IFF
- La tenue de mises à l’essai de scénarios graves, mais plausibles pour estimer la capacité de chacune des IFF de respecter ses limites ou sa tolérance aux perturbations
- Dans le cadre de l’exercice de schématisation et de mise à l’essai de scénarios, détection de tout risque pouvant empêcher une IFF de respecter ses limites ou sa tolérance aux perturbations et prise de mesures pour y donner suite.
Le BSIF est conscient que certaines IFF ont commencé à élaborer et à mettre en œuvre leur propre programme pour tendre vers la résilience opérationnelle. D’ici la révision, la publication et l’entrée en vigueur de la ligne directrice E-21, le BSIF s’attend à ce que les IFF se servent des définitions fondamentales suivantes :
Le risque opérationnel correspond au risque de pertes résultant de carences ou de défauts attribuables à des procédures, à des employés, à des systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique, mais exclut le risque stratégique et le risque d’atteinte à la réputation.
La résilience opérationnelle s’entend de la capacité d’une institution financière à exercer ses activités, y compris les activités essentielles, en période de perturbation. Elle découle d’une gestion efficace du risque opérationnel. Une IFF est réputée être résiliente sur le plan opérationnel si elle est au moins en mesure d’exercer ses activités les plus essentielles en période de perturbation. La résilience opérationnelle met l’accent sur la préparation, la réaction, la reprise, l’apprentissage et l’adaptation, en supposant que les perturbations sont inévitables, y compris les perturbations simultanées. Elle vise notamment la résilience aux risques liés à la technologie et aux cyberrisques.
Les activités essentielles s’entendent des services, des produits et des fonctions d’une IFF qui, s’ils sont interrompus, peuvent mettre en péril l’exploitation de l’IFF, sa sûreté et sa solidité ou son rôle au sein du système financier.
La tolérance aux perturbations s’entend du seuil de perturbations (par exemple, durée d’une panne, réduction des services, perte de données, portée des répercussions sur les clients) qui découlent de tout type de risque opérationnel qu’une IFF endosse dans le cadre de divers scénarios graves, mais plausibles. Un seuil de tolérance devrait être établi pour chacune des activités essentielles d’une IFF et refléter les répercussions d’une perturbation simultanée des services, des produits ou des fonctions connexes.
La mise à l’essai de scénarios signifie d’utiliser une conjoncture mondiale future hypothétique pour définir l’évolution des facteurs de risque qui influent sur les activités d’une IFF. Généralement, il y a plusieurs facteurs de risque qui se transforment et qui peuvent provoquer un effet d’entraînement, c’est-à-dire d’autres répercussions qui découlent logiquement des changements et des mesures connexes prises par la direction et les autorités de réglementation. La mise à l’essai de scénarios vise habituellement un horizon temporel convenant aux activités et aux risques simulés. Dans le contexte de la résilience opérationnelle, la mise à l’essai de scénarios permet d’évaluer l’efficacité avec laquelle l’IFF arrive à respecter sa tolérance aux perturbations dans des scénarios graves, mais plausibles.
Le BSIF tiendra une séance d’information publique sur le risque opérationnel et la résilience opérationnelle au cours du premier trimestre de 2023. La version révisée de la ligne directrice devrait être publiée pour consultation au printemps 2023.