Audit de la surveillance des petites et moyennes banques (PMB)

Type de publication
Audit
Date

Table des matières

    1. Contexte

    1.1 Vue d’ensemble

    Les petites et moyennes banques (PMB) constituent un segment clé du système financier canadien et sont surveillées par le Bureau du surintendant des institutions financières (BSIF). En raison de leur taille et de leurs modèles d’exploitation, les PMB sont assujetties à des attentes sur le plan de la surveillance qui sont adaptées à leurs caractéristiques et distinctes de celles qui s’appliquent aux institutions de plus grande taille, autrement dit les banques d’importance systémique intérieure et mondiale. Le portefeuille des PMB comprend des banques nationales et étrangères de plus petite taille, des coopératives de crédit, des sociétés de fiducie et des sociétés de prêt.

    1.2 Raison d’être de cette mission

    Aucun audit des activités de surveillance des PMB n’a été réalisé au cours des trois dernières années. La présente mission fournit une assurance opportune quant à la conception et à l’efficacité opérationnelle des principaux mécanismes de contrôle de surveillance applicables au portefeuille des PMB. On trouvera des précisions sur la mission et la structure de l’équipe à l’annexe D – À propos de la mission et à l’annexe B – Structure opérationnelle.

    2. Résumé des résultats de la mission et des constatations

    2.1 Vue d’ensemble des résultats

    Dans l’ensemble, les processus afférents aux activités de suivi et d’intervention visant les PMB sont bien conçus et fonctionnent efficacement. Les activités de surveillance sont menées conformément au Cadre de surveillance et aux consignes applicables. Les évaluations du risque et les cotes sont étayées, documentées, approuvées et communiquées aux institutions de manière opportune, claire et uniforme. De plus, une remise en question efficace est exercée, au besoin, dans le cadre des processus du Comité de notation d’un groupe d’entités fédérales (CNGEF) et du Groupe d’experts d’évaluation d’une entité fédérale (GEEEF). Ces processus s’appuient sur des documents exacts et cohérents ainsi que sur le suivi des mesures à prendre.

    Cependant, il existe des possibilités d’amélioration pour renforcer les mécanismes de contrôle dans les domaines de risque suivants :

    • La protection des renseignements de surveillance de nature délicate
    • La formation en surveillance
    • Les activités de suivi et la communication
    • Les consignes et les mécanismes de suivi en matière d’intervention

    Bien que les recommandations de ce rapport d’audit s’adressent aux équipes de surveillance du Groupe des banques à dimension plutôt nationale, toutes les équipes de surveillance du BSIF sont invitées à examiner les conclusions du rapport pour voir si elles s’appliquent à leurs activités.

    Pratiques dignes de mention de la direction

    L’Audit interne (AI) félicite l’équipe de surveillance du Groupe des banques à dimension plutôt nationale, dont le Groupe d’encadrement et de suivi attentif (GESA), pour avoir :

    • élaboré des consignes et des exemples supplémentaires aux fins du gabarit des activités de suivi qui sont en adéquation avec le nouveau Cadre de surveillance;
    • offert un coaching efficace en milieu de travail, notamment en jumelant des surveillants moins expérimentés avec des surveillants chevronnés, une mesure qui a reçu des notes positives dans les réponses au sondage.

    2.2 Réponse de la direction

    La direction est d’accord avec les constatations et les recommandations contenues dans le présent rapport et a établi des plans d’action et un calendrier pour chaque recommandation, tel qu’il est précisé dans les sections pertinentes.

    3. Principales constatations

    3.1 Renseignements de surveillance de nature délicate

    Dans l’exercice de sa mission de surveillance, le BSIF obtient, crée et conserve des renseignements de surveillance de nature délicate (RSND), qui comprennent les renseignements relatifs à la surveillance (RRS) ainsi que d’autres renseignements exclusifs et susceptibles de perturber le marché. Le dirigeant principal de la sécurité de l’information (DPSI) travaille actuellement au déploiement d’une nouvelle classification de sécurité de l’information intitulée « Protégé B – Financier » pour cette catégorie de renseignements.

    Ce que nous avons observé

    Bien que la majorité des RSND examinés étaient bien organisés et adéquatement protégés, des améliorations sont nécessaires en ce qui concerne les consignes et les outils de surveillance.

    Consignes

    Des consignes et des procédures ont été établies pour le traitement des RSND. Toutefois, les ressources examinées sont désuètes ou incomplètes. Plus précisément :

    • Il existe des instructions pour la mise en place initiale des dossiers à accès restreint, mais elles ne précisent pas les responsabilités continues en matière de propriété, de tenue à jour et de suivi.
    • L’importance, les principes et les processus liés à la protection des RSND ont été communiqués aux surveillants par courriel en juillet 2023 par l’ancien Secteur des services intégrés et réitérés par le surintendant en octobre 2025. Toutefois, les consignes existantes n’ont pas fait l’objet d’une révision périodique afin de refléter les plus récentes mesures de protection.

    Le Groupe chargé des technologies et des outils (TTT) et l’équipe des Méthodes, normes et contrôles de surveillance (MNCS) élaborent actuellement de nouvelles consignes à l’égard des dossiers à accès restreint et de la communication des RRS, dont le déploiement est prévu au quatrième trimestre de l’exercice 2025-2026.

    Outils de supervision de l’accès des utilisateurs

    L’accès au système Vu et à eSpace (référentiels des documents de surveillance) est attribué par centre de coûts, et les mécanismes de contrôle sont fondés sur des ensembles de documents à accès restreint, des dossiers à accès restreint et des limites d’exportation des données. Exemples d’exceptions relevées :

    • Des lettres de surveillance signées ou des courriels connexes envoyés aux institutions n’ont pas été conservés dans un ensemble de documents à accès restreint, comme cela aurait dû être le cas.
    • L’accès de certains utilisateurs n’ayant plus besoin d’accéder à des ensembles de documents à accès restreint n’a pas été révoqué en temps opportun.
    • Des RSND ont été enregistrés par inadvertance dans un ensemble de documents correspondant à la mauvaise période de déclaration.

    Le Groupe de préparation aux crises (GPC) contribue actuellement à l’établissement du nouveau processus de supervision d’eSpace dirigé par l’équipe de la Gestion de l’information d’entreprise (GIE). Ce nouveau processus de supervision, qui sera déployé à l’échelle du Centre d’évaluation du risque et d’intervention (CERI) au quatrième trimestre de 2025-2026, servira de contrôle de détection afin de repérer les accès non autorisés et/ou inutiles à des renseignements de nature délicate. Auparavant, ce type de supervision n’était effectué qu’au cas par cas, par coordination entre l’équipe de la Sécurité et un dirigeant principal du CERI.

    Pourquoi c’est important

    Des consignes claires et pertinentes ainsi que des outils de supervision efficaces sont essentiels pour protéger les RSND conformément à la propension du BSIF à prendre des risques. Les lacunes augmentent le risque d’accès inapproprié, de mauvaise interprétation des exigences et de communication non autorisée de données sensibles, ce qui exposerait le BSIF à des risques juridiques et réputationnels.

    Recommandation 1 (risque modéré)

    (i) clarifier les rôles et les responsabilités liés à la protection des RSND; et (ii) élaborer et communiquer des consignes concernant la protection des RSND conformément à la propension du BSIF à prendre des risques. [Institut de surveillance]

    Recommandation 2 (risque modéré)

    élaborer et mettre en œuvre des mécanismes de contrôle pour faciliter la supervision du respect des consignes relatives aux RSND. [Banques à dimension plutôt nationale]

    3.2 Formation en surveillance

    Les surveillants devraient bénéficier d’une formation qui les dote des compétences, des connaissances et de l’assurance nécessaires pour assurer une surveillance efficace et communiquer adéquatement avec les institutions.

    Ce que nous avons observé

    La formation de base en surveillance, dont le perfectionnement des compétences générales, est actuellement offerte par l’Institut de surveillance, avec des possibilités d’apprentissage supplémentaires proposées par des fournisseurs externes afin de répondre aux besoins individuels. Nos résultats mettent toutefois en évidence des domaines nécessitant un renforcement et un développement accrus. Plus précisément :

    • Les possibilités de formation à l’échelle du Secteur de la surveillance sont toujours en cours de développement et ne répondent pas à tous les besoins des surveillants, surtout en ce qui concerne la formation spécifique au secteur bancaire (par exemple, risque de crédit, Bâle, services bancaires aux petites et moyennes entreprises).
    • À la lumière des entrevues et des tests effectués, les compétences et responsabilités des surveillants selon les différents niveaux de classification sont définies dans la Matrice des principales fonctions de surveillance et les descriptions de poste. Toutefois, la manière dont ces éléments sont utilisés ou dont ils permettent de déterminer les écarts de compétences et de connaissances n’est pas claire.

    L’Institut de surveillance (IS) a établi des facteurs clés de réussite axés sur la culture de surveillance et le renforcement de la confiance des surveillants. De plus, l’IS élabore actuellement un programme de formation progressive en surveillance qui comprend une formation liée à ces facteurs clés de réussite et dont le lancement est prévu pour l’exercice 2026-2027.

    Pourquoi c’est important

    Une compréhension claire des lacunes actuelles en matière de compétences et de connaissances est essentielle pour orienter les plans d’apprentissage individuels et d’équipe. Les consultations continues menées par l’IS contribueront à définir les priorités du programme de formation de base en surveillance pour 2026-2027.

    Recommandation 3 (risque modéré)

    réaliser une analyse exhaustive des écarts de compétences et de connaissances pour établir un lien avec les formations existantes ou élaborer un plan pour les formations supplémentaires requises. [Institut de surveillance/Banques à dimension plutôt nationale].

    3.3 Activités de suivi et communication

    Les activités de suivi constituent un élément fondamental du processus de surveillance, car elles permettent le recensement et l’évaluation rapides des risques. La norme Activités de suivi et les consignes connexes exigent que les évaluations soient bien étayées et documentées, qu’elles correspondent aux informations enregistrées dans le système Vu, et qu’elles soient systématiquement communiquées aux institutions en temps opportun.

    Ce que nous avons observé

    Dans l’ensemble, les évaluations réalisées dans le cadre des activités de suivi étaient conformes à la norme Activités de suivi et aux consignes connexes. Les conclusions des activités de suivi et la cote de risque global (CRG) ont été approuvées, étayées et communiquées aux institutions en temps voulu. Cependant, des exceptions ont été relevées dans l’échantillon examiné. Plus précisément :

    • Les évaluations et les conclusions afférentes à certaines catégories de risque (par exemple, résilience opérationnelle) étaient parfois absentes ou insuffisamment documentées. Le lien entre la justification de la CRG, les énoncés de résultats attendus et l’évaluation effectuée dans le cadre des activités de suivi n’était pas toujours clair. Les documents de suivi ne mettaient pas en évidence les principaux éléments évalués ou ne contenaient pas le niveau de détail requis pour appuyer les conclusions, conformément aux consignes à jour sur les activités de suivi et à la norme Documents de surveillance.
    • Certaines sections des gabarits de suivi n’étaient pas toujours remplies.
    • Les consignes existantes ne précisent pas clairement comment la cote « IFF apparentée » et les résultats de surveillance connexes doivent être communiqués lorsque les activités de surveillance visent à la fois l’institution et sa société mère. Il n’y avait pas toujours de preuve de communication des résultats, que ce soit individuellement ou conjointement avec la société mère.
    • Les énoncés de résultats attendus n’étaient pas toujours mis à jour dans le système Vu afin de veiller à ce qu’ils correspondent aux informations contenues dans la lettre de surveillance annuelle (LSA) et le gabarit de suivi.

    Pourquoi c’est important

    Des consignes ou des documents de suivi insuffisants, peu clairs ou incohérents peuvent affaiblir la justification des cotes de risque et des attentes, nuire à la communication avec les institutions et limiter la traçabilité entre les différents résultats des activités de surveillance.

    Recommandation 4 (risque modéré)

    collaborer avec l’Institut de surveillance afin d’évaluer les attentes actuelles en matière de documentation et de communication, d’actualiser les consignes connexes au besoin, de renforcer la révision verticale et le contrôle de la qualité, et d’assurer une meilleure harmonisation entre les principaux résultats des activités de suivi. [Banques à dimension plutôt nationale]

    3.4 Intervention

    Le processus d’intervention permet aux surveillants de cerner les préoccupations et d’intervenir rapidement afin de réduire ou de prévenir les pertes pour les déposants. Des consignes internes claires et un suivi efficace permettent aux surveillants d’intervenir de manière efficace et uniforme, afin de s’assurer que les mesures correctives sont mises en œuvre rapidement et intégralement.

    Ce que nous avons observé

    Les processus d’intervention actuels sont généralement efficaces. Des ressources à ce sujet sont accessibles sur le site externe du BSIF ainsi que sur le portail de l’IS. Les mesures d’intervention et de déclassement sont communiquées aux institutions au moyen de lettres de surveillance. Toutefois, il existe des possibilités d’amélioration en ce qui concerne les consignes internes et le suivi de l’avancement des mesures d’intervention. Plus précisément :

    • Les guides d’intervention existants qui sont affichés sur le site externe du BSIF contiennent des renvois désuets et n’intègrent pas ce qu’implique, sur le plan de la surveillance, le nouveau volet du mandat du BSIF concernant l’intégrité et la sécurité.
    • Les consignes internes sur les étapes opérationnelles en matière d’intervention sont insuffisantes (par exemple, phases d’intervention et activités correspondantes, mesures et outils courants, définitions, et attentes liées aux concepts clés).
    • Actuellement, les mesures d’intervention et de déclassement ne font pas l’objet d’un suivi ou d’un contrôle centralisé. Les progrès réalisés sont mis à jour manuellement chaque trimestre dans les rapports internes d’intervention. Certaines équipes ont élaboré manuellement des feuilles de suivi internes ou utilisent le système Vu pour assurer un suivi. Enfin, les réponses au sondage indiquent qu’un mécanisme cohérent de suivi des mesures serait bénéfique.

    L’équipe des MNCS s’emploie à actualiser les guides externes et internes afin de préciser les processus d’intervention, et le groupe TTT met au point une nouvelle fonctionnalité dans le système Vu pour centraliser le suivi des mesures d’intervention et des critères de déclassement.

    Pourquoi c’est important

    Des consignes peu claires ou l’absence de suivi centralisé peuvent nuire à l’efficacité, à l’efficience, à la continuité ou à l’uniformité des mesures d’intervention.

    Recommandation 5 (risque faible)

    achever l’actualisation des guides d’intervention, activer de nouvelles fonctionnalités permettant de centraliser le suivi des mesures d’intervention et des critères de déclassement, et former les surveillants au besoin. [Institut de surveillance]

    Annexe A – Notation des recommandations

    Les recommandations sont classées afin d’aider la direction à affecter des ressources pour corriger les faiblesses relevées ou améliorer les contrôles internes ou l’efficacité opérationnelle. Ces notes ne sont indiquées qu’à titre informatif. La direction doit les évaluer selon sa propre expérience et sa propension à prendre des risques.

    Les recommandations sont notées en fonction des définitions suivantes :

    • Risque élevé : une attention immédiate est requise compte tenu d’une lacune importante sur le plan d’un contrôle (c’est-à-dire qu’il n’y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement) ou d’une possibilité d’améliorer sensiblement les opérations.
    • Risque modéré : lacune à combler sur le plan d’un contrôle ou amélioration opérationnelle à apporter à court terme.
    • Risque faible : recommandation non essentielle à laquelle on peut donner suite pour renforcer un contrôle interne ou en améliorer l’efficience, normalement à peu de frais et d’efforts. Les notes individuelles ne doivent pas être considérées seules; il faut tenir compte aussi de leur effet sur d’autres objectifs.

    Annexe B – Structure opérationnelle

    Le Secteur de la surveillance du BSIF comprend le Centre d’évaluation du risque et d’intervention (CERI) et le Centre consultatif sur le risque (CCR). Le CERI s’occupe du secteur bancaire, du secteur de l’assurance et du secteur des régimes de retraite et est dirigé par un directeur administratif qui relève du surintendant adjoint, Surveillance. Au moment de réaliser les travaux d’audit sur le terrain, la surveillance des PMB, qui relève du CERI, est assurée par :

    • le Groupe des banques à dimension plutôt nationale : au total 52 personnes, avec 3 directeurs généraux (dont une ressource partagée entre les équipes de surveillance du secteur de l’assurance et des banques à dimension plutôt nationale) et 6 directeurs, tous relevant du même directeur principal;
    • le Groupe d’encadrement et de suivi attentif (GESA) – Équipe chargée de la surveillance des banques : au total 7 personnes, avec un gestionnaire principal et un gestionnaire, qui relèvent tous deux d’un directeur.

    Annexe C – Principaux acronymes

    BDN
    Banques à dimension plutôt nationale
    BSIF
    Bureau du surintendant des institutions financières
    CCR
    Centre consultatif sur le risque
    CERI
    Centre d’évaluation du risque et d’intervention
    CNGEF
    Comité de notation d’un groupe d’entités fédérales
    CRG
    Cote de risque global
    DAQS
    Division de l’assurance de la qualité en surveillance
    DPSI
    Dirigeant principal de la sécurité de l’information
    GEEEF
    Groupe d’experts d’évaluation d’une entité fédérale
    GESA
    Groupe d’encadrement et de suivi attentif
    GIE
    Gestion de l’information d’entreprise
    GPC
    Groupe de préparation aux crises
    IFF
    Institutions financières fédérales
    IS
    Institut de surveillance
    LSA
    Lettre de surveillance annuelle
    MNCS
    Méthodes, normes et contrôles de surveillance
    PMB
    Petites et moyennes banques
    RRS
    Renseignements relatifs à la surveillance
    RSND
    Renseignements de surveillance de nature délicate
    TTT
    Groupe chargé des technologies et des outils

    Annexe D – À propos de la mission

    D.1 Objectif

    Évaluer si les mécanismes de contrôle liés aux processus de surveillance à haut risque sont conçus et fonctionnent efficacement pour assurer leur concordance avec le Cadre de surveillance du BSIF et soutenir les évaluations du risque et les mesures d’intervention.

    D.2 Portée

    L’audit portait sur les principales activités de surveillance du risque visant les PMB menées par le Groupe des banques à dimension plutôt nationale et l’équipe du Groupe d’encadrement et de suivi attentif (GESA) chargée du secteur bancaire, sur la période du 1er avril 2024 au 30 juin 2025 (voir la section D.3 Approche et méthode pour obtenir des précisions).

    Les mécanismes de contrôle liés aux activités visant les PMB au chapitre des examens et de la gestion des lacunes ainsi que le suivi des indicateurs de rendement du Bureau central du Secteur de la surveillance ont été exclus de la portée de cet audit, car ces activités présentent une conception similaire à celles déjà couvertes dans le portefeuille d’audit de la Surveillance des sociétés d’assurance de juin 2025, lequel comporte des recommandations ouvertes. Les activités de planification des travaux de surveillance ont également été exclues pour tenir compte de la mise en place de changements importants concernant les outils de soutien à la planification (c’est-à-dire une méthode d’affectation des ressources et un outil approuvé en août 2025, ainsi qu’un système de répartition du temps en cours de mise en œuvre).

    D.3 Approche et méthode

    La mission comprenait des examens de documents, des entrevues et des tests de cheminement de processus. Des analyses de données ont été utilisées, et l’Audit interne s’est appuyé, s’il y avait lieu, sur les travaux de la Division de l’assurance de la qualité en surveillance (DAQS) pour l’aider à déterminer l’approche d’échantillonnage à adopter et l’étendue des travaux. Des tests fondés sur des échantillons ont été effectués pour évaluer l’efficacité opérationnelle des processus.

    La structure de la mission comprenait 2 sprints comportant des critères distincts, mais l’audit englobait également des thèmes plus larges (voir la section D.4 Critères de la mission pour obtenir des précisions).

    • Premier sprint : activités de suivi, dont les répercussions sur les cotes de la fiche de notation.
    • Deuxième sprint : mesures d’intervention, dont les répercussions sur les cotes de la fiche de notation, et les processus du CNGEF et du GEEEF.

    D.4 Critères de la mission

    Les critères suivants ont été établis pour cette mission (selon la portée décrite plus haut) :

    Critère Sous-critère
    1. Les attentes sur le plan de la surveillance, les responsabilités et les consignes sont adéquates, mises à jour et communiquées en temps opportun pour soutenir la réalisation des activités et objectifs de surveillance. 1.1 Les rôles et les responsabilités des surveillants sont clairement définis, communiqués en temps opportun et bien compris.
    1.2 Des politiques, des normes et des consignes sont établies pour appuyer les attentes sur le plan de la surveillance, et les révisions sont communiquées en temps opportun.
    1.3 Des mécanismes efficaces sont en place pour cerner et suivre, de façon continue, les capacités des surveillants afin de soutenir les besoins en formation.
    2. Les données de surveillance sont fiables et cohérentes, et elles soutiennent l’efficacité des activités de surveillance. 2.1 Les données saisies dans les différents outils et systèmes de surveillance sont exactes, complètes et cohérentes, et permettent de soutenir les mesures de surveillance et les conclusions.
    3. Les activités de surveillance sont menées de manière adéquate et conformément au Cadre de surveillance et aux consignes connexes afin d’assurer une surveillance efficace du profil de risque des institutions. 3.1 Les activités et les outils de suivi des surveillants favorisent une approche uniforme et opportune, qui correspond à l’étendue et à la fréquence prévues, afin d’assurer une couverture adéquate des risques.
    3.2 Les activités d’intervention des surveillants sont efficaces et cadrent avec l’étendue prévue, afin de permettre une réponse et une correction rapides à l’égard des risques recensés.
    3.3 Les conclusions des surveillants concernant les cotes de risque des institutions, les constatations et les recommandations sont dûment approuvées, documentées et étayées, et communiquées de manière opportune et uniforme.
    3.4 Les énoncés de résultats attendus sont clairs et liés aux mesures, aux cotes et aux conclusions de surveillance.
    4. Des mécanismes de gouvernance et de surveillance efficaces sont en place et reposent sur des informations fiables qui permettent de soutenir les évaluations et les mesures de surveillance pour les institutions à risque élevé. 4.1 Les informations utilisées par le GEEEF et le CNGEF sont exactes et suffisantes, et elles concordent avec les documents à l’appui (dont les informations enregistrées dans le système Vu) ainsi qu’avec les conclusions relatives aux cotes de risque.
    4.2 La remise en question exercée par le GEEEF et le CNGEF est documentée et appliquée de manière uniforme, conformément aux exigences établies.

    D.5 Énoncé de conformité

    L’audit s’est déroulé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du Conseil du Trésor, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

    Signaler un problème ou une erreur sur cette page
    Veuillez sélectionner toutes les cases qui s'appliquent :
    Date de modification :