Audit de la surveillance des sociétés d’assurance

Type de publication
Audit
Date

Table des matières

    1. Contexte

    1.1 Vue d’ensemble

    Dans le cadre de son mandat visant à contribuer à la solidité du système financier, le BSIF assure la réglementation et la surveillance de toutes les institutions financières fédérales (institutions) au Canada, y compris les banques et les sociétés d’assurance. La surveillance efficace et opportune des institutions financières comprend une évaluation à l’échelle de l’institution et du secteur pour s’assurer que les risques sont recensés, gérés et corrigés dans les meilleurs délais.

    Les sociétés d’assurance représentent environ 61 % de toutes les institutions dont le BSIF assure la surveillance. Le champ de notre audit couvre environ 90 % de ces sociétés d’assurance. Même si ces sociétés d’assurance sont plus petites que les grandes banques et sociétés d’assurance, elles peuvent, ensemble, avoir un impact sur le système financier en raison de leur exposition aux risques liés au logement, au climat et à la liquidité, lesquels sont soulignés dans le Regard annuel du BSIF sur le risque de 2024-2025 destiné au secteur financier.

    1.2 Contexte sur les raisons pour lesquelles nous avons mené cet audit et la façon dont nous l’avons fait

    Nous avons procédé à cet audit afin de fournir une assurance en ce qui a trait à l’efficacité des évaluations de surveillance des petits assureurs qui ne font pas partie d’un groupe d’assurance actif à l’échelle internationale (GAAEI). Ce secteur, auquel s’applique depuis le 1er avril 2024 le nouveau Cadre de surveillance avec des outils et des processus nouvellement conçus, n’a fait l’objet d’aucun audit au cours des huit dernières années. (Consultez l’annexe C – À propos de l’audit et l’annexe D – Étendue des audits précédents.)

    Cet audit a été effectué en quatre sprints, et un certain nombre de recommandations ont été formulées dans le cadre des sprints, dont certaines ont été fermées au cours de l’audit. Consultez les détails dans l’annexe B – Échéancier des recommandations des sprints I à IV.

    2. Résumé des résultats de l’audit et des constatations de l’auditeur

    2.1 Vue d’ensemble des résultats

    Dans l’ensemble, nous avons constaté que les évaluations du risque effectuées par l’instance de surveillance et les processus de surveillance étaient efficaces et soutenus par des méthodes et des outils dans l’esprit du nouveau Cadre de surveillance. Nous souhaitons toutefois insister sur les constatations et les recommandations suivantes afin de renforcer davantage les capacités et les processus de surveillance :

    • Établir des consignes détaillées et des outils supplémentaires afin de soutenir les évaluations du risque effectuées par l’instance de surveillance à l’égard des sociétés d’assurance faisant partie des classes 3 à 5, en particulier dans les domaines des risques non financiers
    • Renforcer les mécanismes de gestion et de supervision afin de passer en revue les cotes de risque, en particulier pour les institutions dont la cote est de 1
    • Étendre les mesures de supervision afin d’accroître la transparence en ce qui concerne l’efficacité des mesures correctives prises par les institutions
    • Poursuivre le développement d’outils afin de renforcer la surveillance de l’accès aux renseignements protégés dans Vu

    Enfin, nous avons évalué les examens d’assurance de la qualité (EAQ) effectués par la Division de l’assurance de la qualité en surveillance (DAQS) et noté qu’ils étaient fondés sur le risque, qu’ils garantissaient une remise en question adéquate des travaux de surveillance et que les constatations étaient suffisamment documentées. Par conséquent, nous nous sommes fiés à ses travaux et avons réduit l’étendue de ceux de l’Audit interne (AI), lorsque la situation s’y prêtait.

    Des pratiques dignes de mention pour la direction

    La direction a rapidement donné suite à une recommandation (détaillée dans l’annexe B) soulevée dans le cadre du premier sprint de l’audit en passant de la publication de consignes à un rythme très rapide et sur une base ponctuelle à un plan de mise en œuvre plus stratégique soulignant les priorités opérationnelles pertinentes aux surveillants. La direction a aussi mis à jour son outil de planification afin d’intégrer les commentaires de l’audit, dans la mesure du possible, au cours de l’audit afin de faciliter le cycle de planification de 2025-2026.

    Les équipes chargées de la surveillance des sociétés de plus petite taille ont déployé de vastes efforts durant la transition vers le nouveau Cadre de surveillance afin de faire respecter ses nouvelles attentes. Elles ont notamment tenu des rencontres fonctionnelles avec leurs pairs afin de calibrer les cotes de risque pour assurer la cohérence à l’échelle des institutions similaires.

    La DAQS a produit des rapports thématiques ayant contribué à faire connaître les observations générales afin de rehausser la qualité de la lettre de surveillance annuelle et la cote de risque en ce qui concerne les institutions qui n’ont pas encore été sélectionnées pour un EAQ.

    2.2 Réponse de la direction

    La direction est d’accord avec les constatations et les recommandations contenues dans le présent rapport et a établi des plans d’action avec un calendrier pour chaque recommandation dans les sections pertinentes.

    3. Principales constatations

    3.1 Évaluations du risque et consignes en matière de surveillance

    Des consignes claires en matière de surveillance assurent une compréhension efficace et cohérente des attentes en ce qui a trait à l’évaluation des profils de risque des institutions et à la communication des résultats de la surveillance à ces dernières.

    Ce que nous avons observé

    Les Méthodes, normes et contrôles de surveillance (MNCS) ont dirigé la transition vers le nouveau Cadre de surveillance et mis en œuvre de nombreux changements relativement aux normes, aux consignes et aux outils, et ce, dans un court délai. Bien que chaque catégorie de risque était décrite dans un guide explicatif et que des guides supplémentaires étaient prévus pour chacune, les lacunes suivantes ont été observées :

    • Pour 38 % des échantillons testés (5 sur 13), nous n’avons pas été en mesure de trouver suffisamment de données probantes à l’appui d’une cote de 1 pour les catégories de risque élargies en vertu du nouveau Cadre de surveillance, en particulier en ce qui concerne la résilience opérationnelle. De plus, la justification de la fiche de notation du risque, particulièrement le risque lié à la résilience opérationnelle, n’incluait pas toujours les principaux facteurs soutenant la cote attribuée. Cependant, depuis la fin de notre période d’examen, les MNCS ont commencé à revoir les consignes d’évaluation des cotes en ce qui a trait aux scénarios dans lesquels les surveillants ne disposent pas de l’information nécessaire pour effectuer l’évaluation.
    • Le soutien spécialisé pour l’évaluation des risques non financiers (p. ex., les risques liés à la technologie, à la cybersécurité et aux tiers) était limité. Qui plus est, même si un plan visant à publier des guides d’évaluation supplémentaires avait été établi, y compris la priorisation des risques non financiers, les guides ont été publiés parallèlement au cycle de renouvellement de la fiche de notation, en raison de l’échéancier de la transition.
    • Bien que les notes attribuées étaient soutenues par des documents ayant fait l’objet d’un examen, la priorisation des risques non financiers, les critères d’évaluation appliqués et la documentation liée à l’évaluation n’étaient pas cohérents à l’échelle des équipes du chargé de surveillance. Par conséquent, nous n’avons pas été en mesure d’évaluer la cohérence des conclusions dans des circonstances identiques ou similaires.
    • Bien que la plupart du contenu lié à la surveillance se retrouve dans le portail de la Surveillance, les consignes en matière d’intervention étaient publiées çà et là sur différentes plateformes, par exemple le portail de l’Institut de surveillance, les portails d’assurance de la qualité et divers documents. Qui plus est, les consignes en matière d’intervention étaient souvent axées sur le secteur bancaire, ce qui en limitait la pertinence en ce qui concerne les petites sociétés d’assurance. Nos travaux ont cependant révélé que les réponses en matière d’interventions étaient opportunes, adaptées et proportionnelles aux problèmes relevés.

    Pourquoi c’est important

    L’absence de consignes claires relativement à l’évaluation des risques non financiers et aux activités d’intervention peut se traduire par un degré d’exactitude et de cohérence moindre dans les évaluations du risque, les cotes attribuées et les travaux de surveillance.

    Recommandation 1 (risque modéré)

    L’équipe des MNCS devrait continuer à mettre à jour et à centraliser les consignes et les outils, y compris fournir des exemples de risques non financiers et d’évaluations des risques, au besoin, pour les petites sociétés d’assurance.

    Recommandation 2 (risque modéré)

    Dans le cadre des futurs cycles de lettres de surveillance annuelles, la direction devrait effectuer un examen stratégique et fondé sur le risque de toutes les institutions dont la cote est 1 afin de garantir que ces évaluations du risque sont bien étayées et cohérentes entre elles. De plus, la direction devrait continuer d’exercer une supervision fondée sur le risque afin de s’assurer que les justifications des cotes des portefeuilles de sociétés d’assurance des classes 2 à 5 sont non seulement étayées adéquatement, mais aussi cohérentes.

    3.2 Interactions avec les intervenants et entrées de données dans le cadre des activités de surveillance

    Des modèles d’interaction avec les intervenants et d’entrées de données clairement définis et compris assurent l’entrée de données pertinentes et opportunes dans les évaluations par l’instance de surveillance.

    Ce que nous avons observé

    De l’information pertinente provenant de collaborateurs internes et externes est prise en compte dans le cadre des travaux de surveillance. Il peut s’agir de groupes de spécialistes financiers et non financiers, de la Division des risques liés à l’intégrité et à la sécurité (DRIS) et d’organismes externes, comme d’autres organismes de réglementation, le Comité de surveillance des institutions financières (CSIF) et le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE). Bien que nous ayons constaté que des mécanismes d’échange de renseignements avec les spécialistes et les surveillants étaient en place et que des réunions avaient lieu régulièrement avec le CSIF et d’autres organismes de réglementation, certains de ces mécanismes n’avaient pas encore été définis afin d’assurer un échange efficace de renseignements. Par exemple :

    • L’échange de renseignements avec CANAFE et la façon d’utiliser ces renseignements relativement à la fiche de notation et de la lettre de surveillance annuelle n’avaient pas été définis. Toutefois, depuis l’examen, la direction a fait des progrès en mettant sur pied un groupe de travail afin de définir les modalités de l’entente et la fréquence des réunions entre le BSIF et CANAFE.
    • En raison de la maturité limitée de la DRIS, les mécanismes d’échange de renseignements n’avaient pas encore été définis ni mis en œuvre dans le cadre des activités de surveillance. Le Comité directeur – Approche de surveillance en matière d’intégrité et de sécurité et une séance d’information ont cependant fait office de mesures d’atténuation afin de guider la façon dont les résultats initiaux doivent être communiqués et utilisés par les surveillants.

    Depuis la fin de l’examen et la communication de ces observations, les MNCS ont revu et publié la norme Activités de suivi afin de tenir compte des collaborateurs pertinents, de même que de la façon d’utiliser leurs renseignements dans le cadre des évaluations du risque.

    Pourquoi c’est important

    En l’absence de modèles d’interaction et de mécanismes d’échange de renseignements clairement définis et de consignes claires sur l’utilisation de l’information, l’efficacité des évaluations du risque et des communications connexes aux institutions risque d’être moindre.

    Recommandation 3 (risque modéré)

    En consultation avec les cadres dirigeants, les MNCS devraient continuer à identifier les collaborateurs et les sources de données pertinents, et comment elles serviront à étayer les travaux d’évaluation de l’instance de surveillance, les cotes et les recommandations de façon continue.

    3.3 Contrôle des activités de surveillance

    3.3.1 Mesures et résultats

    Le suivi des indicateurs de rendement et de risque clés est important afin d’évaluer l’efficacité des opérations et des activités de surveillance, y compris l’évaluation des institutions.

    Ce que nous avons observé

    Des indicateurs de risque et de rendement clés (c’est-à-dire des IRiC et des IReC) arrimés à la propension à prendre des risques et aux objectifs opérationnels du BSIF sont en place et communiqués régulièrement aux cadres dirigeants. Il s’agit notamment des mesures permettant de surveiller les progrès réalisés par rapport aux travaux prévus, la réalisation des livrables dans les échéanciers établis, l’état d’avancement des mesures correctives que les institutions doivent prendre, les changements importants dans les cotes de risque des institutions et la durée du mandat des chargés de surveillance.

    Un contrôle de l’avancement et de l’efficacité des mesures correctives de l’institution en ce qui a trait aux recommandations en matière de surveillance est effectué, et il est possible de voir une piste des changements de date dans Vu, laquelle est consignée au niveau des mesures à prendre. Il existe des mesures sur le total et la distribution des mesures correctives en cours et en retard pour toutes les institutions visées. Toutefois, il n’y avait aucun processus systématique ni rapport régulier permettant de surveiller les changements apportés aux dates cibles pour l’achèvement des mesures correctives au niveau des institutions. Dans certains cas, la date cible d’achèvement a été révisée plus de deux fois, ce qui témoigne de risques non résolus sur une plus longue période.

    Pourquoi c’est important

    En l’absence de mesures adéquates des progrès et des changements relatifs aux éléments actifs en cours et en retard, la capacité des surveillants et de la haute direction à comprendre les retards dans la résolution (fermeture) des lacunes et à y répondre de façon appropriée pourrait être compromise.

    Recommandation 4 (risque modéré)

    Le Bureau central du Secteur de la surveillance (BCSS), en collaboration avec les MNCS et la direction, devrait concevoir des mesures supplémentaires permettant de surveiller les changements apportés aux dates cibles d’achèvement relatives aux mesures que doivent prendre les institutions.

    3.3.2 Données de nature délicate et gestion des accès

    Une surveillance efficace de l’accès aux systèmes est essentielle afin de garantir que l’information de nature délicate est protégée adéquatement.

    Ce que nous avons observé

    Conçu à l’interne, Vu est un système d’enregistrement qui facilite le travail des surveillants. En règle générale, l’accès à Vu est fondé sur le rôle, et des contrôles adéquats ont été mis en place par les MNCS et les chargés de surveillance afin de gérer l’accès aux données confidentielles et de nature délicate (c’est-à-dire des dossiers à accès restreint pour les données provenant d’institutions financières qui sont classées à un stade d’intervention). Nous avons vérifié que des contrôles ponctuels de gestion des accès existaient et qu’ils fonctionnaient comme prévu, et nous avons constaté que des améliorations aux rapports sur les accès dans Vu étaient en voie d’être apportées. Toutefois, aucun outil n’était encore disponible afin d’aider les chargés de surveillance à contrôler systématiquement l’opportunité de maintenir l’accès des utilisateurs.

    Pourquoi c’est important

    Des contrôles de surveillance des accès inadéquats peuvent se traduire par le retrait prématuré d’un accès non autorisé et inutile à des données confidentielles et de nature délicate.

    Recommandation 5 (risque modéré)

    Les MNCS devraient concevoir et déployer un outil afin de soutenir la surveillance et le suivi des accès des utilisateurs aux données confidentielles et de nature délicate dans Vu.

    3.4 Autres questions

    Registre des risques d’assurance

    Le registre des risques d’assurance est l’une des principales entrées de données utilisées dans l’outil PASS afin de permettre aux surveillants de mettre en correspondance les activités de surveillance par rapport aux risques. Le registre doit être mis à jour de façon périodique pour s’assurer qu’il reflète l’environnement de risque actuel.

    Ce que nous avons observé et pourquoi c’est important

    Dans le cadre du premier sprint, nous avons formulé une recommandation visant à s’assurer que le registre des risques spécifiques à l’assurance soit reflété dans le répertoire des risques de l’outil PASS utilisé par les surveillants pour les activités de planification. Bien que la direction soit d’accord et qu’elle ait commencé à clarifier les responsabilités et à établir un processus pour l’intégration de ces risques, il n’a pas encore été mis en œuvre. L’inclusion appropriée des risques d’assurance et la mise en correspondance des activités de surveillance avec ceux-ci vont fournir à la haute direction les renseignements nécessaires pour déterminer si les principaux risques d’assurance sont couverts adéquatement par les activités de surveillance prévues.

    Recommandation 6 (risque faible)

    Les MNCS devraient continuer à coordonner les entrées pertinentes dans le registre des risques avec l’outil PASS.

    Annexe A – Notation des recommandations

    Les recommandations sont classées afin d’aider la direction à affecter des ressources pour corriger les faiblesses relevées ou améliorer les contrôles internes ou l’efficacité opérationnelle. Ces notes ne sont indiquées qu’à titre informatif. La direction doit les évaluer selon sa propre expérience et sa propension à prendre des risques.

    Les recommandations sont notées en fonction des définitions suivantes :

    • Risque élevé : une attention immédiate est requise compte tenu d’une lacune importante sur le plan d’un contrôle (c’est-à-dire qu’il n’y a pas de contrôle ou le contrôle est mal conçu ou ne fonctionne pas efficacement) ou d’une possibilité d’améliorer sensiblement les opérations.
    • Risque modéré : lacune à combler sur le plan d’un contrôle ou amélioration opérationnelle à apporter à court terme.
    • Risque faible : recommandation non essentielle à laquelle on peut donner suite pour renforcer un contrôle interne ou en améliorer l’efficience, normalement à peu de frais et d’efforts. Les notes individuelles ne doivent pas être considérées seules; il faut tenir compte aussi de leur effet sur d’autres objectifs.

    Annexe B – Échéancier des recommandations des sprints I à IV

    Les recommandations suivantes ont été établies dans le cadre de l’audit, et certaines ont été corrigées par la direction et validées par l’AI avant le rapport final.

    Nom du sprint Recommandation Cote de risque État
    I – Planification des travaux de surveillance L’équipe des Méthodes, normes et contrôles de surveillance (MNCS) devrait améliorer le processus afin de communiquer stratégiquement les changements mis en œuvre dans l’esprit des priorités stratégiques et opérationnelles. S’il y a lieu et dans la mesure du possible, elle devrait aussi continuer à coordonner l’échéancier des informations des intervenants concernés en ce qui a trait aux changements proposés. Moyen Fermé
    II – Activités de surveillance L’équipe des MNCS devrait revoir et mettre à jour les consignes et les outils existants afin de clarifier les attentes, y compris le principe de proportionnalité, pour soutenir la surveillance des petites institutions. Elle devrait aussi centraliser les consignes, au besoin. Moyen Voir la première recommandation dans le présent rapport
    II – Activités de surveillance L’équipe des MNCS, en collaboration avec l’équipe de direction de la Surveillance, devrait poursuivre les efforts prévus afin de renforcer les consignes et les outils relativement à la façon de surveiller et de gérer les énoncés de résultat de surveillance. Bas Fermé
    III – Cotes des fiches de notation et lettres de surveillance annuelles En consultation avec les cadres dirigeants, l’équipe des MNCS devrait poursuivre le travail en cours afin d’identifier les collaborateurs et les sources de données pertinents, et comment elles serviront à étayer les travaux d’évaluation de l’instance de surveillance, les cotes et les recommandations de façon continue. Moyen Voir la troisième recommandation dans le présent rapport
    III – Cotes des fiches de notation et lettres de surveillance annuelles Dans le cadre des futurs cycles de lettres de surveillance annuelles, la direction devrait effectuer un examen stratégique et fondé sur le risque de toutes les institutions financières fédérales dont la cote est 1 afin de confirmer le caractère raisonnable de ces évaluations du risque. De plus, la direction devrait continuer d’exercer une surveillance fondée sur le risque afin de s’assurer que les justifications des cotes des portefeuilles de sociétés d’assurance des classes 2 à 5 sont étayées adéquatement. Moyen Voir la deuxième recommandation dans le présent rapport
    III – Cotes des fiches de notation et lettres de surveillance annuelles L’équipe des MNCS devrait continuer d’élaborer et de communiquer des consignes en matière d’évaluation des cotes, en mettant davantage l’accent sur des exemples (des classes 2 à 5) pour les risques non financiers, et des conseils lorsque l’information n’est pas encore disponible afin d’évaluer les cotes. Moyen Voir la première recommandation dans le présent rapport
    IV – Supervision des activités de surveillance Le BCSS, en collaboration avec le Groupe chargé des technologies et des outils et la direction, devrait concevoir des mesures supplémentaires permettant de surveiller les changements apportés à la date cible d’achèvement relativement aux mesures que doivent prendre les institutions financières fédérales. Moyen Voir la quatrième recommandation dans le présent rapport
    IV – Supervision des activités de surveillance Le Groupe chargé des technologies et des outils devrait concevoir et déployer un outil afin de soutenir la surveillance et le suivi des accès des utilisateurs aux données confidentielles et de nature délicate dans Vu. Moyen Voir la cinquième recommandation dans le présent rapport

    Annexe C – À propos de l’audit

    C.1 Objectif

    L’objectif de cet audit est d’évaluer si les contrôles des activités de surveillance soutiennent une réponse efficace et rapide en matière de surveillance.

    C.2 Portée et couverture

    L’audit s’est déroulé du 1er avril 2023 au 30 juin 2024. L’efficacité et l’efficience des processus de surveillance ont été évaluées dans le cadre de l’audit. Des échantillons ont fait l’objet de tests afin d’évaluer l’efficacité opérationnelle et le respect du nouveau Cadre de surveillance.

    Les sociétés d’assurance parmi les assureurs qui ne font pas partie d’un groupe d’assurance actif à l’échelle internationale couvraient les portefeuilles de sociétés d’assurance visés ci-dessous :

    • Assurance des particuliers, assurance des entreprises et assurance multibranches (auparavant appelées Groupe de l’assurance multirisque)
    • Réassurance
    • Groupe de l’assurance hypothécaire (GAH)
    • Assurance-vie – hors conglomérat

    C.3 Approche et méthode

    Cet audit a été effectué dans le cadre d’une approche fondée sur des sprints, chaque sprint fonctionnant comme un mini-audit, dont les constatations ont été communiquées à la fin à la direction. L’audit comprenait quatre sprints :

    • Premier sprint : Planification des travaux de surveillance
    • Deuxième sprint : Activités de surveillance
    • Troisième sprint: Cotes des fiches de notation et lettres de surveillance annuelles
    • Quatrième sprint : Supervision des activités de surveillance

    Afin de fournir des résultats opportuns à la direction et au Comité ministériel d’audit, après chacun des trois premier sprints, l’AI a transmis une note provisoire à la direction et a présenté un compte rendu verbal provisoire au Comité ministériel d’audit.

    La Division de l’assurance de la qualité en surveillance (DAQS) a évalué les cotes des fiches de notation des portefeuilles de sociétés d’assurance visés. Par conséquent, l’AI a coordonné séparément les tests de l’efficacité des fiches de notation et des lettres de surveillance dans le cadre du troisième sprint afin d’arrimer l’échéancier aux travaux de la DAQS. Dans le cadre du troisième sprint, l’AI a évalué l’efficacité de l’évaluation de la DAQS en ce qui a trait aux portefeuilles visés. Les résultats ont démontré que l’AI a été en mesure de se fier aux travaux de la DAQS afin de réduire la taille de l’échantillon dans le cadre de l’audit et la duplication des efforts.

    Les résultats de l’évaluation effectuée dans le cadre du quatrième sprint ont été communiqués verbalement à la direction et consolidés dans le rapport final.

    L’audit a été effectué au moyen de l’examen de documents, d’entrevues, de la démonstration de processus et de tests d’échantillons dans le but d’évaluer la conception et l’efficacité opérationnelle des contrôles internes des processus de surveillance applicables aux assureurs qui ne font pas partie d’un groupe d’assurance actif à l’échelle internationale.

    C.4 Critères d’audit

    Le tableau ci-dessous présente les critères d’audit qui ont été établis pour cet audit, tant globaux que propres aux sprints.

    Critères Sous-critères
    Tous les sprints
    1. Les attentes, les responsabilités, les méthodes et les consignes sur le plan de la surveillance soutiennent la réalisation des activités de surveillance, de même que l’atteinte des objectifs. 1.1 Les politiques, les normes, les consignes et les gabarits ont été officialisés et sont accessibles et mis à jour régulièrement.
    1.2 Les rôles et responsabilités sont clairement définis et compris.
    1.3 Des processus de gestion du changement ont été mis en place et bien communiqués afin de soutenir une transition efficace vers le nouveau Cadre de surveillance.
    1.4 Les objectifs du renouvellement du nouveau Cadre de surveillance ont été définis, et leur atteinte est mesurée et surveillée.
    2. Les processus de supervision des activités de surveillance et de production de rapports sont adéquats afin de favoriser une intervention et un recours hiérarchique efficaces et opportuns. 2.1 Les activités de surveillance, y compris celles visant les institutions classées à un stade d’intervention et inscrites sur la liste de surveillance, font l’objet d’un suivi afin de garantir un processus décisionnel approprié et opportun.
    2.2 Des mesures de rendement appropriées sont utilisées afin de faire un suivi des activités de surveillance, et elles sont adéquates, fiables et communiquées sans délai.
    3. Les outils et les systèmes de surveillance soutiennent les principales activités de surveillance, de même que l’atteinte des objectifs. 3.1 Des outils et des systèmes de surveillance ont été établis et permettent d’assurer une surveillance opportune, fondée sur le risque et efficace des institutions.
    3.2 Les outils et les systèmes font l’objet de tests, d’une validation et d’une gestion du changement adéquats.
    3.3 Les points de données critiques et les renseignements sensibles et confidentiels dans les outils et les systèmes de surveillance sont identifiés et protégés.
    Deuxième et troisième sprints – Planification des travaux et activités de surveillance
    4. La planification des activités de surveillance est non seulement fondée sur le risque, mais elle est aussi dans l’esprit du Cadre de surveillance applicable à la période. 4.1 Les stratégies et plans de surveillance sont appuyés par une justification claire et documentée, approuvés et communiqués promptement.
    4.2 Les stratégies et les plans de surveillance sont alignés sur le Cadre de surveillance, sont fondés sur le risque et tiennent adéquatement compte de la disponibilité des ressources.
    4.3 Les modifications apportées aux stratégies et aux plans de surveillance sont adéquatement soutenues par les changements de l’environnement de risque au niveau des institutions et du secteur.
    4.4 Les documents évalués par les équipes de surveillance, y compris tout rapport de conformité, sont pris en compte dans le cadre du processus de planification.
    Deuxième et troisième sprints – Activités de surveillance et cotes des fiches de notation et lettres de surveillance annuelles
    5. Les activités de surveillance sont menées conformément au Cadre de surveillance afin d’assurer que le recensement, l’évaluation et le suivi des risques, ainsi que la communication des préoccupations se déroulent avec précision et rapidité. 5.1 Les activités de surveillance sont menées conformément au Cadre de surveillance et aux consignes afin d’assurer que le recensement, l’évaluation et le suivi des risques, ainsi que la communication des préoccupations se déroulent avec précision et rapidité.
    5.2 Les activités de surveillance sont efficaces, car elles contribuent à répondre rapidement aux risques cernés.
    5.3 Les conclusions des surveillants en ce qui concerne les cotes de risque, les constatations et les mesures applicables aux institutions sont bien étayées, approuvées de façon appropriée et communiquées au bon moment.
    5.4 Les processus de gestion des lacunes sont efficaces, car ils permettent de faire un suivi des mesures correctives que les institutions doivent prendre.

    C.5 Énoncé de conformité

    L’audit s’est déroulé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du Conseil du Trésor, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

    Annexe D – Étendue des audits précédents

    Voici l’étendue des audits précédents des portefeuilles de surveillance des sociétés d’assurance :

    • 2016 : Audit du Groupe de l’assurance hypothécaire du Secteur de la surveillance des sociétés d’assurance
    • 2017 : Audit de la surveillance des sociétés d’assurance vie hors conglomérat
    • 2018 : Audit de la Sous-section de l’administration des valeurs mobilières du Secteur de la surveillance des sociétés d’assurance
    • 2023 : Audit des processus du Secteur de la surveillance – Groupes d’assurance actifs à l’échelle internationale et Société canadienne d’hypothèques et de logement

    Toutes les recommandations découlant de ces projets ont été fermées.

    Annexe E – Activités et outils de surveillance

    Le Cadre de surveillanceNote de bas de page 1 oriente la manière dont nous supervisons, de façon fondée sur le risque, les activités de surveillance en ce qui a trait aux institutions financières fédérales et aux régimes de retraite fédéraux. Dans l’ensemble, il y a quatre activités de surveillance : i) plan et stratégies de planification des activités de surveillance; ii) suivi et examen afin d’élaborer des évaluations du risque; iii) production de rapports et interventions afin de communiquer les résultats; et iv) gestion des enjeux afin de faire le suivi des recommandations. Bien que la planification des activités de surveillance soit la première des quatre activités du cycle de vie de la surveillance, pris globalement, le processus de surveillance est dynamique, continu et itératif, car les résultats de l’un ou l’autre de ces volets viennent étoffer les informations ou les données fournies durant le processus précédent ou suivant.

    En date de décembre 2023, Vu a été mis à jour afin de s’arrimer au nouveau Cadre de surveillance, et demeure le principal système d’enregistrement pour les travaux de surveillance. Qui plus est, de nouveaux outils ont été conçus et mis en œuvre tout au long de 2024 afin de faciliter les activités de surveillance (p. ex., l’outil de planification des activités au regard des stratégies de surveillance (PASS) et l’outil de normalisation des constatations et des actions (FAST)).

    Annexe F – Acronymes et termes importants

    Acronymes Description
    BCSS Bureau central du Secteur de la surveillance : bureau faisant partie du Secteur de la surveillance; il fournit du soutien opérationnel à toutes les équipes chargées de la surveillance de façon centralisée.
    BSIF Bureau du surintendant des institutions financières : assure la surveillance des institutions financières fédérales et des régimes de retraite fédéraux afin de contribuer à la confiance du public à l’égard du système financier.
    CANAFE Centre d’analyse des opérations et déclarations financières du Canada : unité du renseignement financier du Canada et organe de surveillance de la lutte contre le blanchiment des capitaux et le financement du terrorisme.
    CSIF Comité de surveillance des institutions financières : comité dont les membres comprennent le BSIF, le ministère des Finances, la Banque du Canada, la Société d’assurance-dépôts du Canada et l’Agence de la consommation en matière financière du Canada. Il se réunit au moins une fois par trimestre pour échanger des informations sur des questions relatives à la surveillance des institutions financières fédérales.
    DRIS Division des risques liés à l’intégrité et à la sécurité : fournit au BSIF des renseignements sur l’existence et la pertinence des politiques et procédures en matière d’intégrité et de sécurité, et collabore étroitement avec le Secteur de la sécurité nationale afin de soutenir nos stratégies, notre processus décisionnel et les mesures que nous prenons relativement à l’intégrité ou à la sécurité, y compris la sécurité nationale et l’ingérence étrangère.
    EAQ Examens d’assurance de la qualité : un des types d’approches d’évaluation d’assurance de la qualité qu’emploie la Division de l’assurance de la qualité en surveillance (DAQS) afin de contribuer à l’excellence dans le Secteur de la surveillance en soutenant les surveillants grâce à l’amélioration continue.
    GAAEI

    Groupe d’assurance actif à l’échelle internationale : définis par l’Association internationale des contrôleurs d’assurance (AICA) comme étant de grands assureurs avec une présence mondiale importante, les GAAEI sont assujettis aux normes de surveillance du BSIF, de même qu’au cadre commun de l’AICA. Le BSIF classe actuellement quatre institutions dans la catégorie des GAAEI, soit trois groupes d’assurance vie et un groupe d’assurance multirisques :

    • La Compagnie d’Assurance du Canada sur la Vie (« Canada Vie »)
    • La Compagnie d’Assurance-Vie Manufacturers (« Manuvie »)
    • Sun Life du Canada, compagnie d’assurance-vie (« SunLife »)
    • Intact Corporation financière (« Intact »)
    Institutions Institutions financières fédérales : le BSIF assure la réglementation et la surveillance de toutes les institutions financières fédérales au Canada, y compris les banques et les compagnies d’assurance.
    IRiC/IReC Indicateurs de risque clés /indicateurs de rendement clés : surveillés à partir du tableau de bord Risques, cotes et activités afin d’offrir un aperçu global du rendement des surveillants et des spécialistes.
    LSA Lettre de surveillance annuelle : type de lettre de surveillance qui permet de communiquer les cotes de surveillance actuelles, de récapituler les principaux thèmes qui influent sur les travaux de surveillance du BSIF et d’articuler les attentes liées à ceux-ci. Elle peut aussi servir à récapituler les principales constatations issues des examens de surveillance et d’autres activités depuis la lettre de surveillance annuelle de l’année précédente et à présenter les plans pour l’année à venir.
    MNCS Méthodes, normes et contrôles de surveillance : équipe faisant partie de l’Institut de surveillance (IS), qui, dans son ensemble, dote les employés des outils, de la formation et des ressources propres à la surveillance nécessaires pour accomplir efficacement les travaux de surveillance.
    Outil PASS Planification des activités au regard des stratégies de surveillance : outil conçu afin d’aider à cibler et classer en ordre de priorité les examens de surveillance, les activités de suivi et les activités d’examen pansectoriel/thématique conformément à la norme Stratégie de surveillance et planification.
    TTT Groupe chargé des technologies et des outils : groupe faisant partie de l’équipe des Méthodes, normes et contrôles de surveillance; il fournit des outils et du soutien technologique à toutes les équipes chargées de la surveillance.

    Addenda

    Le présent document est un addenda visant à fournir de l’information contextuelle supplémentaire sur l’Audit de la surveillance des sociétés d’assurance pour les membres du Comité ministériel d’audit.

    Univers de la population

    Les sociétés d’assurance offrent des couvertures d’assurance multirisques, d’assurance vie, de réassurance et d’assurance hypothécaire aux particuliers et aux entreprises. Au BSIF, les sociétés d’assurance sont classées dans deux sous-catégories, soit : i) les groupes d’assurance actifs à l’échelle internationale (GAAEI), de grands assureurs avec une présence mondiale importante qui font partie de la classe 1, ou ii) les assureurs qui ne font pas partie d’un groupe d’assurance actif à l’échelle internationale, qui font partie des classes 2 à 5, ce qui comprend les trois organismes de prêts hypothécaires, qui sont considérés comme des institutions faisant partie de la classe 2 (auparavant 1). Une cote de risque global (dont la fourchette va de 1 à 8) est ensuite attribuée à chaque institution, de même qu’une cote d’intervention (dont la fourchette va de 1 à 4), laquelle est surveillée de façon continue en ce qui a trait au risque d’exploitation, à la résilience financière, à la résilience opérationnelle et à la gouvernance du risque, dans le cadre de travaux de surveillance, et modifiée au besoin.

    Au moment de planifier notre audit, les sociétés d’assurance représentaient environ 61 % de toutes les institutions dont le BSIF assure la surveillance (210 institutions sur 340). L’univers de la population des sociétés d’assurance couvertes par notre audit était d’environ 90 % (190 sur 210). Dans le cadre de l’audit, 10 % de cette population a été évalué au moyen d’une approche fondée sur le risque utilisant des critères comme la classe dont l’institution fait partie, ses cotes d’évaluation du risque, etc.

    Signaler un problème ou une erreur sur cette page
    Veuillez sélectionner toutes les cases qui s'appliquent :
    Date de modification :