Consultation du BSIF sur les attentes en matière de gestion du risque lié aux tiers dans le cadre d’une version révisée de la ligne directrice B-10

  • Type de publication : Lettre
  • Date : 27 avril 2022
  • Destinataires : Toutes les institutions financières fédérales

Le Bureau du surintendant des institutions financières (BSIF) lance aujourd’hui une consultation sur la version révisée de la ligne directrice B-10 – Gestion du risque lié aux tiers, laquelle présente et clarifie ses attentes à l’égard des institutions financières fédérales (IFF) en matière de gestion du risque lié aux tiers.

Le secteur financier a, depuis longtemps, recours aux ententes avec des tiers par souci d’efficacité, d’innovation, de gestion des besoins opérationnels en évolution et d’amélioration du service. Par ailleurs, on remarque qu’un nombre croissant d’IFF s’appuient sur un écosystème de tiers plus vaste pour exécuter et mener à bien leurs activités essentielles. La probabilité que ces ententes aient une incidence sur la résilience opérationnelle et financière des IFF est donc plus grande.

Pour que ces risques soient mieux pris en compte, le BSIF a revu la ligne directrice B-10 et y a intégré un ensemble plus exhaustif de risques liés aux tiers qui concordent avec cet écosystème de tiers toujours plus vaste. La version révisée de la ligne directrice B-10 est davantage axée sur la gouvernance et les programmes de gestion du risque et définit des attentes fondées sur des résultats et exprimées sous forme de principes que les IFF doivent suivre pour assurer une saine gestion du risque lié aux tiers (se reporter à l’annexe pour de plus amples renseignements).

Les changements proposés à la ligne directrice B-10 s’inspirent des conclusions tirées de l’étude sur le risque lié aux tiers menée par le BSIF en 2019, des commentaires reçus en réponse au document de travail sur le risque lié aux technologies publié par le Bureau en 2020 et des observations formulées par les instances sectorielles sur le projet de ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque. De fait, en réponse aux commentaires reçus dans le cadre de la consultation, le BSIF a modifié son approche à l’égard des attentes en matière de gestion du risque lié aux technologies et du cyberrisque découlant des ententes avec les tiers. Par voie de conséquence, certaines sections du projet de ligne directrice B-13 ont été déplacées dans la version révisée de la ligne directrice B-10. Les changements sont par ailleurs fondés sur les constatations découlant des travaux de surveillance et d’élaboration de politiques menés régulièrement par le BSFI.

Parallèlement, le BSIF tient compte du fait qu’un cadre approuvé à l’échelle fédérale sera élaboré pour régir la mobilité des données des consommateurs au sein du secteur financier. La présente ligne directrice n’a pas pour but d’empêcher la mise en place ou le fonctionnement d’un tel cadre. Une fois que le cadre aura été conçu, le BSIF pourra fournir des consignes pertinentes au besoin.

Le BSIF ouvre une consultation publique afin d’obtenir des commentaires sur les changements qu’il propose d’apporter à la ligne directrice B-10, plus particulièrement en ce qui concerne la clarté et le niveau de détail des attentes du BSIF en matière de gestion du risque. Veuillez envoyer vos commentaires à l’adresse b10@osfi-bsif.gc.ca d’ici le 27 juillet 2022.

Le BSIF prévoit de publier la version finale de la ligne directrice à l’automne 2022, laquelle sera accompagnée d’un résumé des commentaires reçus, sans mention des auteurs, et des mesures qui seront prises en réponse aux observations formulées.

Le BSIF tiendra une séance d’information à l’intention des institutions financières et des autres parties prenantes le mercredi 4 mai à 14 h (HE) afin de leur donner une vue d’ensemble de la version à l’étude de la ligne directrice B-10 et l’occasion de poser des questions. CLIQUEZ ICI pour vous vous inscrire au webinaire.

Annexe

Principaux changements apportés à la ligne directrice B‑10
Changements de fond Ligne directrice B‑10 actuelle Version révisée à l’étude de la ligne directrice B‑10
Portée élargie Vise les ententes d’impartition Vise les ententes avec des tiers
Définition plus large du risque Axée sur le risque lié à l’impartitionAxée sur le risque lié aux tiers et les risques connexes
Accent sur le risque Gestion du risque dépendante des clauses contractuellesGouvernance et programmes de gestion du risque mis en avant
Orientation modernisée Jargon juridique, style dépasséTexte remanié et simplifié, définition claire des résultats et des principes

Portée élargie

La version à l’étude de la ligne directrice B-10 s’applique à un plus grand nombre d’ententes avec des tiers. Elle couvre non seulement la gestion des risques associés aux ententes d’impartition traditionnelles, mais également de ceux découlant des entités externes avec lesquelles les IFF collaborent sur le plan commercial ou stratégique, y compris les sous-traitants importants.

Définition plus large du risque

La version à l’étude de la ligne directrice B-10 propose une définition du risque lié aux tiers qui dépasse largement le concept actuel de risque lié à l’impartition. Cette définition vise à tenir compte d’une gamme plus vaste de facteurs de risques externes qui pourraient nuire aux activités d’une IFF.

La définition révisée englobe également des risques connexes, comme le cyberrisque, le risque financier, le risque opérationnel, le risque de concentration et les risques liés aux technologies, à la sécurité des données, à la gestion de la continuité des activités, à la sous-traitance et à la chaîne d’approvisionnement.

Accent sur le risque

En vertu de la version à l’étude de la ligne directrice B-10, le BSIF attend des IFF qu’elles adoptent des pratiques de gestion du risque axées sur le « cycle de vie » des ententes avec les tiers et qu’elles tiennent compte du niveau de risque de ces ententes.

Dans cette version, l’approche de gestion du risque binaire (impartition « importante » vs impartition « non importante ») utilisée jusqu’ici est remplacée par une démarche axée sur le risque. La version révisée introduit également le concept d’« importance relative » des ententes avec les tiers. Ainsi, le BSIF s’attend à ce que chaque entente soit gérée en fonction du niveau de risque qu’elle représente et de son importance relative.

Orientation modernisée

La version à l’étude de la ligne directrice B-10 a été actualisée de façon à présenter une approche axée sur les résultats et fondée sur des principes que les IFF devraient suivre pour gérer le risque lié aux tiers. Le BSIF y a exposé cinq résultats globaux et 11 principes connexes, ainsi qu’une série d’attentes en matière de gestion du risque pour aider les IFF à atteindre ces résultats.