Discours de la surintendante adjointe Angie Radiskovic au Canadian Institute lors de la 31e Conférence phare sur la conformité réglementaire des institutions financières

Discours - Toronto -

Le texte prononcé fait foi

Bonjour.

C'est un plaisir d'être avec vous aujourd'hui au 31e congrès annuel du Canadian Institute. Je tiens à souhaiter la bienvenue à tous les participants et à remercier les organisateurs de m'avoir invitée à prendre la parole aujourd'hui.

Le programme du congrès couvre un certain nombre de sujets qui me tiennent à cœur. De plus, ils sont également d'actualité et extrêmement pertinents dans le monde incertain d'aujourd'hui.

  • En préparant mon allocution d'aujourd'hui, je me suis rappelé que j'avais fait un discours pour la dernière fois à ce congrès il y a 6 ans (lors du 25e congrès annuel) sur le thème de « l'évolution du risque non financier ». À cette époque, je dirigeais le nouveau « Groupe du risque non financier », qui comprenait la Division du risque opérationnel, la Division de la conformité et la toute nouvelle Division du risque lié aux technologies. Deux choses m'ont frappé quand j'ai retrouvé l'affiche du congrès de 2019. Premièrement, j'avais l'air beaucoup plus jeune il y a 6 ans. Deuxièmement, je n'avais aucune idée à l'époque que « l'évolution » du risque non financier dont j'avais parlé pâlirait en comparaison de ce qui allait arriver, c'est-à-dire une pandémie mondiale comme on n'en voit qu'une fois par siècle, des guerres en Europe et au Moyen-Orient et un effondrement fondamental du commerce mondial. Et si vous l'aviez prévu, vous n'avez certainement pas prévu tous ces événements en l'espace de seulement cinq ans!
  • Nous nous retrouvons aujourd'hui à une époque où il y a de plus en plus de transformations. L'environnement mondial des risques évolue rapidement. Il est façonné bien sûr par les mutations géopolitiques, les incertitudes commerciales, ainsi que les changements technologiques (intelligence artificielle!) et climatiques. Nous entrons dans une ère d'incertitude constante où la résilience de nos institutions financières, tant financière qu'opérationnelle, est non seulement une protection, mais également un avantage stratégique.

Dans ce contexte, les autorités de réglementation et les institutions doivent accorder autant d'attention aux risques existants qu'à la façon dont ces risques interagissent et évoluent. La rapidité et la complexité du changement exigent une approche plus dynamique et tournée vers l'avenir de la gestion des risques, appuyée sur des données et un jugement éclairé.

Comment le modèle opérationnel et les pratiques du BSIF ont-ils évolué au cours de cette période?

Pour répondre aux exigences de cette nouvelle ère d'incertitude persistante, le BSIF a modifié son approche.

  • Plus tôt cette année, nous avons lancé un nouveau modèle opérationnel qui prévoit la création du Secteur du risque, de la stratégie et des politiques. Ce Secteur est au cœur de l'avancement continu du BSIF en tant qu'autorité de réglementation proactive et tournée vers l'avenir. C'est là que nous arrimons notre réflexion stratégique sur les mesures de réglementation et de surveillance. Notre secteur regroupe diverses fonctions liées aux données et à l'analyse (modernisation de la collecte de données), à la stratégie, à la planification intégrée, à la surveillance et à l'évaluation des risques, ainsi qu'à l'élaboration et à l'approbation des politiques. Ensemble, toutes ces fonctions permettent au BSIF de prévoir les risques, d'intervenir et d'en rendre compte avec agilité et précision. Nos priorités consistent notamment à améliorer l'efficacité des mesures de réglementation, à moderniser les consignes et à veiller à ce que les institutions, et les organismes de surveillance qui les évaluent, se concentrent sur les risques appropriés au bon moment. Les spécialistes du Secteur du risque, de la stratégie et des politiques analysent les risques émergents, l'évolution des risques actuels et leurs éventuels effets sur les entités réglementées. En résumé, nous avons créé ce secteur afin de devenir un organisme qui est plus conscient des risques, qui est axé sur les risques et qui intervient afin de gérer les risques, non seulement en ce qui concerne les risques que nous surveillons et réglementons, mais aussi en ce qui concerne nos propres activités internes.
  • Ce groupe s'intéresse davantage à l'évolution du BSIF dans le monde du risque non financier. Une grande partie de ce travail est accompli au sein du Secteur du risque, de la stratégie et des politiques. Nous travaillons de concert avec d'autres divisions du BSIF, plus précisément avec les surveillants. Au sein du Groupe du risque non financier, la Division du risque lié aux technologies est désormais la plus grande équipe. Elle a élargi le champ d'application de son évaluation du risque lié aux technologies et du cyberrisque afin d'englober l'élaboration et l'analyse des rapports d'incidents envoyés par les institutions financières fédérales. Les évaluations de la gouvernance d'entreprise ont été confiées à nouveau aux surveillants, ce qui nous permet de prendre en charge des travaux sur la conformité à la réglementation et de mettre en place des évaluations de la culture du risque (Division des risques liés à la culture et à la conformité). Ces dernières années, la Division du risque opérationnel a commencé à accorder une plus grande attention à l'évolution de la gestion du risque lié aux tiers et à la continuité des activités essentielles susceptibles d'être menacées par d'autres événements générateurs de risque (par exemple des cyberactivités malveillantes). Comme vous le savez, ces cinq dernières années ont été marquées par une activité intense et soutenue en ce qui a trait aux travaux d'élaboration des lignes directrices sur le risque non financier. Nous avons créé de nouvelles lignes directrices et modifié ou actualisé certaines qui existaient déjà. Vous en discuterez aujourd'hui et demain.
  • Un changement fondamental a été le renouvellement du Cadre de surveillance du BSIF que nous avons lancé en avril 2024. Un an plus tard, nous avons procédé à son examen afin de solliciter des commentaires. Dans l'ensemble, ceux-ci étaient positifs. Nous sommes plus précis dans la communication de nos évaluations du risque, y compris sur la résilience opérationnelle, ce qui a conduit à des discussions plus précises sur les risques avec les conseils d'administration et les membres de la direction. Il reste aussi des progrès à faire, notamment en ce qui concerne l'affinement et l'élargissement des définitions et indicateurs de notation entre les niveaux de risque. Ce travail favorisera une plus grande clarté et transparence dans la manière dont les autorités de surveillance parviennent à leurs conclusions, plus précisément au sujet des risques non financiers qui sont de nature plus qualitative. Je vous encourage à vous inscrire à notre Journée d'information qui se tiendra le 4 décembre prochain si vous souhaitez en savoir plus.
  • Comme vous le savez, le budget de 2023 a élargi le mandat du BSIF en lui imposant de veiller à ce que les institutions financières fédérales disposent de politiques et de procédures adéquates pour gérer les risques liés à leur intégrité et à leur sécurité, notamment l'ingérence étrangère. Nous avons créé le Secteur de l'intégrité et de la sécurité nationale afin de collaborer avec d'autres instances gouvernementales, notamment les services de sécurité et de renseignement, sur les questions de sécurité nationale et d'ingérence étrangère dans le secteur financier, y compris avec le Centre d'analyse des opérations et déclarations financières du Canada. Nous avons publié la ligne directrice Intégrité et sécurité en janvier 2024. Les évaluations en matière d'intégrité et de sécurité s'appuient largement sur les travaux du Groupe du risque non financier. Les équipes travaillent donc en étroite collaboration pour échanger des renseignements et déterminer les domaines d'intérêt communs.
  • Enfin, nous avons gagné en transparence vis-à-vis du secteur à l'égard de ce que nous considérons comme les risques les plus importants, au sens large, sur lesquels il devrait se concentrer. Pour ce faire, nous publions chaque printemps et chaque automne nos regards annuels et semestriels sur le risque. Lors de la mise à jour semestrielle du mois dernier, nous avons recerné quatre risques clés : intégrité et sécurité (qui montaient régulièrement jusqu'à la première place), prêts de gros, financement et liquidités, et prêts garantis par un bien immobilier. Nous avons aussi ajouté deux risques émergents. Premièrement, l'incertitude liée aux droits de douane et la conjoncture macroéconomique difficile des deux côtés de la frontière. Deuxièmement, une augmentation progressive des incidents de paiement hypothécaire, surtout dans le cas des prêts hypothécaires à taux variable et à versements fixes.

Intégrité et travail du Groupe du risque non financier

Maintenant que j'ai présenté le contexte de risque et le modèle opérationnel du BSIF, j'ai pensé qu'il pourrait être utile de vous donner un aperçu du travail de surveillance et de réglementation que nous avons accompli au cours de la dernière année, des thèmes issus de ce travail, et, bien que préliminaire, de la façon dont notre plan de travail pour l'année prochaine se dessine.

Division des risques liés à la culture et à la conformité

Nous avons mené plusieurs examens types de gestion de la conformité à la réglementation, y compris des examens thématiques pansectoriels avec le Secteur de la surveillance (20 institutions financières). Les résultats correspondent à ce que je qualifierais de « faciles à rectifier » :

  • Lacunes dans l'opinion de l'agent principal de la conformité et les programmes d'évaluation de la conformité relatifs à la portée de la couverture et au fondement des conclusions
  • Contrôles inadéquats pour s'assurer que l'inventaire de conformité à la réglementation reste à jour
  • Manque de clarté dans les responsabilités de l'agent principal de la gestion du risque
  • L'examen pansectoriel a révélé une gamme de résultats, qu'il s'agisse de la conception du cadre de la gestion de la conformité à la réglementation, de l'examen indépendant ou de la gouvernance.

L'année prochaine, nous envisageons d'approfondir notre travail sur les opinions de l'agent principal de la conformité, leur couverture des activités de suivi et des tests, et la transparence avec laquelle les résultats sont communiqués, plus précisément au conseil d'administration. Du point de vue des lignes directrices, nous ne prévoyons pas de changement à la ligne directrice E13 ni à l'Avis relatif à la réglementation sur la culture.

Division du risque lié aux technologies

Comme vous le savez bien, les risques liés aux technologiques et les cyberrisques gagnent en fréquence et en sophistication (grâce notamment à l'intelligence artificielle) et il est crucial que les institutions financières gèrent ces risques pour demeurer résilientes. Le BSIF prend ce fait très au sérieux!

Cette dernière année, nous nous sommes penchés sur les évaluations des tests de cyberrésilience fondés sur le renseignement. Le Cadre d'exécution du test de la cyberrésilience fondé sur le renseignement du BSIF est un outil de surveillance qui permet aux institutions financières fédérales de cerner et de combler d'emblée des lacunes en matière de cyberrésilience. Lorsque survient un cyberincident qui doit être signalé, les institutions financières fédérales doivent en informer le BSIF, car ce rapport nous aide à relever les vulnérabilités systémiques et à prévenir de futurs incidents.

Nous avons mené cette année plusieurs examens des risques liés aux technologies et des cyberrisques conformément à la ligne directrice B-13, ainsi que des activités de surveillance renforcées des plans de reprise après sinistre (conjointement avec la Division du risque opérationnel). Voici nos conclusions :

  • En ce qui concerne les risques liés à la technologique et les cyberrisques, si les institutions sont généralement bien protégées contre les menaces externes, nous avons toutefois relevé des lacunes dans la gestion de l'identité et de l'accès, la sécurité des réseaux, la prévention de la perte de données (liens vers certains points du programme sur la protection des données), la sensibilisation à la sécurité et la reprise après sinistre.
  • Les tests réels des capacités de reprise après sinistre font souvent défaut, et des lacunes dans les pratiques de gestion du changement ont entraîné des pannes touchant les clients.
  • Nous avons aussi noté un manque de visibilité à l'égard de la haute direction et du conseil d'administration concernant les principaux risques liés à la technologie et les cyberrisques.

L'an prochain, outre des travaux supplémentaires sur le Cadre d'exécution du test de la cyberrésilience fondé sur le renseignement et les examens du risque lié aux technologies et des cyberrisques, nous prévoyons d'étudier la reprise après sinistre, les examens de gestion des vulnérabilités et les examens de gouvernance infonuagique. La Ligne directrice B-13 restera inchangée au prochain exercice financier.

Division du risque opérationnel

En ce qui concerne la Division du risque opérationnel, nous nous sommes attardés sur la gestion du risque lié aux tiers. Les aspects à l'étude sont notamment les évaluations de la criticité et des risques inhérents, les plans de sortie et d'urgence, ainsi qu'un examen pansectoriel sur la diligence raisonnable à l'égard des tiers. Voici les résultats des examens :

  • les plans de sortie et d'urgence des tiers manquent de détails afin qu'ils soient exécutables;
  • le nombre et le niveau de détail des activités essentielles, comme ils sont déterminés par les institutions financières, varient grandement, et ils montrent peu de corrélation avec la taille et la complexité d'une institution.
  • La dépendance à l'égard des exercices de simulation est insuffisante pour assurer le déroulement des activités essentielles malgré une grave perturbation.

L'an prochain, la Division du risque opérationnel et la Division du risque lié aux technologies feront équipe pour mener un certain nombre d'examens sur la continuité des activités, la gestion du changement et la protection des données. Nous prévoyons aussi d'intensifier nos efforts en matière de gestion du risque lié à la fraude et au traitement des opérations (car ces éléments ont une incidence sur les pertes liées à la fraude).

En 2024, le BSIF a publié la version finale de la ligne directrice E-21, Gestion du risque opérationnel et résilience opérationnelle.

Cette ligne directrice :

  • renforce les attentes entourant la gestion du risque opérationnel;
  • énonce de nouvelles attentes axées sur la résilience opérationnelle, qui constitue une composante cruciale de notre cadre de surveillance;
  • établit de nouvelles attentes à l'égard de la gestion du risque lié à la continuité des activités, de la gestion de crise, de la gestion du changement et de la gestion du risque lié aux données, ce qui servira à renforcer la résilience opérationnelle.

Les institutions devraient mettre en œuvre la ligne directrice E-21 avant septembre 2026. Certaines institutions financières de taille moyenne n'avaient pas défini leurs activités essentielles au début de l'automne 2025 et pourraient avoir du mal à respecter cette échéance.

En 2023, nous avons publié la ligne directrice Gestion du risque lié aux tiers (B-10), et aucun changement n'y sera apporté l'an prochain.

Pour conclure, j'aimerais prendre un peu de recul et vous donner une idée de la façon dont je prévois que notre bureau continuera d'évoluer dans les deux prochaines années.

Le système financier canadien demeure résilient. Les banques d'importance systémique affichent des ratios de fonds propres de catégorie 1 sous forme d'actions ordinaires (ratios CET1) de 13,7 % en moyenne au dernier trimestre, ce qui correspond à 60 milliards de dollars de fonds propres excédentaires au-delà du minimum requis.

Cette résilience financière doit être jumelée à l'adaptabilité – et par là, j'entends l'adaptabilité du Bureau du surintendant des institutions financières. En tant qu'organisme de réglementation, nous devons être intelligents, prendre des risques bien calibrés propices à l'innovation, favoriser la compétitivité et la croissance économique, tout en préservant la résilience du système. Nous avons lancé un certain nombre de projets. Nous avons, par exemple, éliminé 52 documents ou 600 pages d'information redondante, obsolète ou superflue de notre répertoire de consignes, et nous poursuivrons ces efforts de réduction. Nous avons aussi l'intention de simplifier l'examen des demandes des nouvelles entités, d'accroître la transparence du processus de demande et de réduire les frictions réglementaires inutiles afin d'assurer que des entités compétentes et bien gouvernées puissent intégrer le système fédéral plus rapidement.

Vous entendrez aussi davantage parler de la manière dont nos priorités en matière de risque seront de plus en plus axées sur le risque de crédit, le risque de liquidité et la gouvernance d'entreprise, tandis que les domaines qui présentent un risque moins immédiat pour la stabilité systémique seront relégués au second plan.

La gouvernance, la responsabilisation du conseil d'administration et l'aptitude de la haute direction sont fondamentales pour assurer l'intégrité des institutions financières fédérales et relèvent indéniablement de la prudence. Nous considérons ces aspects comme un grand risque, car à mesure que le paysage financier évolue, les normes et pratiques de gouvernance doivent également évoluer. Les cadres dirigeants et les membres du conseil d'administration doivent composer avec des pressions croissantes et des décisions de plus en plus difficiles. Ils doivent être bien outillés et tenus responsables, et c'est pourquoi nous explorons l'amélioration de notre régime actuel d'aptitude et d'obligation de rendre des comptes au moyen de lignes directrices. D'autre information sur le sujet sera communiquée en 2026, notamment dans le cadre d'une consultation publique.

En bref, la résilience, qu'elle soit opérationnelle, technologique ou financière, n'est pas facultative. C'est la pierre angulaire d'une institution financière sûre et solide ainsi que d'un système financier stable. Ensemble, grâce à une solide gestion du risque et à une étroite collaboration, nous pouvons relever ces défis sans crainte.

Merci encore au Canadian Institute d'avoir organisé cet événement important, et je vous souhaite à toutes et à tous un congrès fort productif.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :
Date de modification :