Ligne directrice Gestion du risque lié aux tiers - Réponses aux commentaires reçus dans le cadre de la consultation
Date : 24 avril 2023
Le BSIF remercie les parties consultées qui ont fourni des commentaires au sujet de la version à l’étude de la ligne directrice B-10, Gestion du risque lié aux tiers. On trouvera ci‑après une synthèse des commentaires reçus ainsi que les réponses du BSIF.
Le BSIF reconnaît que les institutions financières fédérales (IFF) doivent exercer leurs activités dans un contexte concurrentiel et que les ententes avec des tiers peuvent être une source de gains d’efficience, d’innovation et d’améliorations du service. Le BSIF s’attend à ce que les IFF gèrent efficacement les risques qui découlent des ententes avec des tiers. Il s’attend également à ce que les IFF demeurent responsables des activités, des fonctions et des services commerciaux fournis par un tiers.
Le BSIF a révisé la ligne directrice B‑10 afin d’en préciser la portée et de la fonder davantage sur des principes qui font ressortir l’importance du recours à une démarche axée sur le risque pour gérer les ententes avec des tiers. Il a également répondu aux préoccupations entourant le risque lié à la sous‑traitance et le risque de concentration, et la période de transition précédant l’entrée en vigueur de la ligne directrice.
Réponses aux commentaires reçus dans le cadre de la consultation
| Réponse | Version à l’étude de la ligne directrice B‑10 | Version finale de la ligne directrice B‑10 |
|---|---|---|
| Portée | Les parties consultées estiment que la portée de la ligne directrice est trop large et pourrait être trop onéreuse pour certains types d’ententes avec des tiers. | Le BSIF précise qu’il s’attend à ce que les IFF comprennent bien l’ensemble de leurs ententes avec des tiers, mais qu’elles appliquent la ligne directrice en fonction du niveau de risque et de criticité de chaque entente, ainsi que de la taille, de la nature, de la complexité et du profil de risque de l’institution. |
| Approche moins normative | Les parties consultées ont mentionné les domaines où ils estiment que les attentes sont trop normatives. | Nous insistons davantage sur une méthode de gestion des ententes avec des tiers qui est axée sur le risque. |
| Sous-traitants | Les parties consultées estiment qu’il est difficile d’imposer les exigences de la ligne directrice aux sous‑traitants. | Les responsabilités des IFF en lien avec la gestion des risques que pose la sous‑traitance sont précisées. |
| Risque de concentration | Les parties consultées sont d’avis qu’il serait difficile pour une IFF d’évaluer le risque de concentration. | Les attentes du BSIF à l’égard des IFF en ce qui concerne la gestion de divers types de risque de concentration sont précisées. |
| Recoupement | Les parties consultées mentionnent que certaines attentes formulées dans la ligne directrice B‑10 et celles d’autres lignes directrices du BSIF pourraient se recouper. | L’impression de recoupement est atténuée en précisant à quels égards la ligne directrice B‑10 vient compléter d’autres lignes directrices et dans quelles circonstances les IFF doivent se reporter aux attentes formulées dans d’autres lignes directrices. |
| Période de transition | Les parties consultées réclament une période de transition relativement longue. | Le BSIF estime qu’une période de transition d’un an est raisonnable compte tenu de la portée des exigences formulées dans la ligne directrice révisée et de la latitude permettant de rendre conformes les ententes existantes d’ici l’entrée en vigueur de la ligne directrice ou dès que possible par la suite. |
Portée
De nombreuses parties consultées s’inquiètent de la grande portée de la ligne directrice et craignent que les attentes qui y sont énoncées puissent être trop onéreuses pour certaines ententes avec des tiers.
Le BSIF s’attend à ce que les IFF comprennent bien l’ensemble de leurs ententes avec des tiers et mènent des activités de gestion du risque qui sont adaptées au niveau de risque et de criticité de chaque entente. Les ententes plus à risque et plus critiques doivent faire l’objet d’une gestion plus rigoureuse du risque.
Le BSIF a donc ajouté à la ligne directrice une section où il précise qu’il s’attend à ce que les IFF appliquent la ligne directrice en fonction du niveau de risque et de criticité de chaque entente avec un tiers, ainsi que de la taille, de la nature, de la complexité et du profil de risque de l’institution. Le BSIF précise en outre que, si un tiers est soumis à la réglementation ou à la surveillance du gouvernement, l’IFF peut en tenir compte dans le cadre de son évaluation du risque.
Approche moins normative
Certaines parties consultées ont mentionné que le libellé de certaines sections, dans la version à l’étude, semblait trop normatif.
Comme indiqué ci‑dessus, le libellé a été étoffé afin d’harmoniser la ligne directrice avec l’approche fondée sur des principes qu’applique le BSIF et pour insister sur le fait que ce dernier s’attend à ce que les IFF adoptent une méthode de gestion des ententes avec des tiers qui est fondée sur le risque. De plus, les attentes au sujet de la diligence raisonnable et des ententes écrites ont été révisées de manière à les rendre moins normatives et pour assurer qu’elles reflètent une approche fondée sur le risque.
Sous-traitants
Plusieurs parties consultées sont d’avis qu’il pourrait être difficile d’imposer les attentes de la ligne directrice aux sous‑traitants auxquels ont recours les tiers avec lesquels ils ont conclu des ententes.
Le BSIF a donc précisé ses attentes quant à la manière dont les IFF peuvent s’acquitter de leurs responsabilités en lien avec la gestion des risques posés par la sous‑traitance à laquelle ont recours les tiers. Le BSIF s’attend à ce que les IFF gèrent le risque lié à la sous‑traitance à laquelle ont recours les tiers en fonction du niveau de risque et de criticité de l’entente conclue avec le tiers. Les IFF doivent évaluer les risques liés à la sous‑traitance à laquelle ont recours les tiers et adapter leur suivi et leur gestion de ces risques en fonction du niveau de risque caractérisant l’entente et de la criticité des services fournis par le tiers.
Risque de concentration
Certaines parties consultées sont d’avis qu’il serait difficile pour une IFF d’évaluer le risque de concentration.
Le BSIF a donc précisé que les IFF doivent prendre des mesures raisonnables pour évaluer le risque de concentration associé à leurs propres ententes avec des tiers selon des critères pertinents comme le territoire, le fournisseur et le sous‑traitant. Pour ce qui est du risque de concentration systémique, le BSIF s’attend à ce que les IFF fassent tout leur possible pour procéder à des évaluations du risque. Il encourage également les IFF à se pencher sur les avantages et les risques de la transférabilité lorsqu’elles concluent des ententes avec des fournisseurs de services infonuagiques, et sur les mesures d’atténuation des risques en l’absence de la transférabilité.
Recoupement
Plusieurs parties consultées ont l’impression que certaines attentes de la version à l’étude de la ligne directrice B‑10 et celles d’autres lignes directrices du BSIF se recoupent.
Pour donner suite à ces préoccupations, le BSIF a révisé la ligne directrice B‑10 afin d’indiquer clairement quelles sont les attentes qui sont censées servir de complément à d’autres lignes directrices, comme les lignes directrices B‑13, Gestion du risque lié aux technologies et du cyberrisque, et E‑21, Gestion du risque opérationnel, et dans quelles circonstances les IFF doivent se reporter aux exigences énoncées dans ces autres lignes directrices.
Période de transition
Certaines parties consultées estiment qu’une période de transition relativement longue pourrait être nécessaire afin de rendre les ententes existantes avec des tiers conformes aux attentes de la version à l’étude de la ligne directrice B‑10.
Par conséquent, la ligne directrice entrera en vigueur le 1er mai 2024, soit près d’un an après sa publication, afin de donner aux IFF suffisamment de temps pour évaluer leur situation et mettre en place des programmes de gestion du risque lié aux tiers conformes aux nouvelles exigences de la ligne directrice.
Les ententes avec des tiers qui entreront en vigueur le 1er mai 2024 ou après devront être conformes à toutes les sections pertinentes de la ligne directrice. Les IFF doivent passer en revue et mettre à jour les ententes existantes conclues avant cette date à la prochaine date de renouvellement ou de révision afin de respecter les attentes de la ligne directrice B‑10 d’ici son entrée en vigueur ou dès que possible par la suite.