Rapport d’audit interne portant sur le Secteur de la surveillance : Groupe du soutien de la surveillance - Division du risque de crédit

Propertiés du document

  • Type de publication: Rapport d’audit interne
  • Date : Juin 2015

1. Contexte

Introduction

L’Audit interne exécute des missions d’assurance pour déterminer si les processus de gestion des risques, de contrôle et de gouvernance du Bureau du surintendant des institutions financières Canada (BSIF), tels qu’ils ont été conçus et présentés par la direction, sont suffisants et fonctionnent de manière à ce que les risques soient bien cernés et gérés.

L’audit de la Division du risque de crédit du Groupe du soutien de la surveillance (DRC-GSS) a été recommandé par le Comité de vérification du BSIF, et le surintendant en a approuvé l’inclusion dans le Plan d’audit interne 2014-2015 du BSIF.

Le présent rapport a été soumis au Comité d’audit du BSIF le 19 juin 2015 et approuvé par le surintendant. La direction l’a examiné, y a répondu et a proposé des mesures à prendre.

Contexte

Le GSS-2 englobe quatre groupes distincts qui assurent un soutien sous forme de connaissances techniques spécialisées aux équipes relevant des chargés de surveillance. La Division du risque de crédit (DRC) est l’un de ces groupes de soutien de la surveillance.

Le mandat de la DRC consiste à :

  • conseiller et aider le Secteur de la surveillance en réalisant des activités de contrôle, des examens sur place et des interventions préventives auprès des institutions financières fédérales (IFF) en ce qui touche le risque de crédit;
  • aider le Secteur de la surveillance à suivre et à évaluer les problèmes systémiques ou sectoriels liés au risque de crédit qui sont susceptibles d’avoir une incidence négative sur les institutions.

Importance de l’audit

Les activités de la DRC revêtent une importance particulière parce que le risque de crédit est l’un des plus néfastes pour les institutions financières, notamment dans le cas des institutions de dépôts (ID). Étant donné que, en vertu du processus de surveillance intégré du BSIF, plusieurs aspects des activités de la CRD participent directement à l’évaluation globale des risques qui pèsent sur les IFF, l’impact potentiel sur l’institution et, par conséquent, sur les objectifs du BSIF pourrait être significatif si le risque de crédit (qu’il soit systémique ou institutionnel) n’est pas décelé et évalué adéquatement et en temps utile.

Le BSIF recourt à une méthodologie disciplinée et fondée sur les risques pour surveiller les IFF. La méthodologie de surveillance du BSIF est décrite de façon générale dans le document intitulé Cadre de surveillance 2010, et plus en détail dans les guides de surveillance comprenant des gabarits. Ces documents établissent le cadre conceptuel d’un processus de surveillance efficace que tous les groupes de surveillance, dont le GSS-DRC, doivent suivre et appliquer.

2. Au sujet de l’audit

Objectif de l’audit

L’audit avait pour objectif de déterminer si le processus de surveillance de la DRC est fondé sur les risques, et s’il contribue efficacement au processus d’évaluation des risques et d’intervention du Secteur de la surveillance. Cet objectif comportait quatre volets :

  1. déterminer si les activités de planification de la DRC témoignent manifestement d’une vision,  d’une approche et d’un mécanisme d’affectation des ressources fondés sur les risques;
  2. déterminer si le contenu des éléments de preuve au dossier est suffisamment riche et pertinent pour étayer les évaluations et conclusions de la DRC, ainsi que les mesures prises, à l’égard du risque de crédit;
  3. déterminer si la méthodologie de surveillance du BSIF et les guides connexes sont appliqués de manière appropriée et uniforme au processus de surveillance suivi par la DRC pour cerner et évaluer les questions liées au risque de crédit des institutions financières, et en rendre compte; 
  4. déterminer si les examens de contrôle qualité permettent de déceler efficacement les problèmes de qualité du travail et de veiller à ce que la méthodologie du BSIF et les guides connexes soient appliqués de manière appropriée et uniforme.

Étendue de l’audit

L’audit a porté sur les activités de la DRC visant à aider les équipes relevant des chargés de surveillance à évaluer les risques pour leurs institutions au cours de l’exercice 2013-2014.

Sachant que le processus de surveillance ne cesse d’évoluer, l’AI a examiné la documentation portant sur les événements qui se sont produits après la période de l’audit choisie pour déceler des preuves d’amélioration, le cas échéant.

Stratégie d’audit

Les critères d’évaluation de l’audit de la DRC reposent sur le cadre intégré de gestion du risque d’entreprise recommandé par le COSO (Committee of Sponsoring Organizations of the Treadway Commission), qui est reconnu internationalement.

L’audit a notamment fait appel à des discussions avec des employés clés, des revues des processus avec les équipes de la DRC, ainsi que l’examen des procédures opérationnelles et des gabarits de la DRC et de certains documents de surveillance.

Déclaration de conformité

Cet audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne définies par l’Institut de l’audit interne et en accord avec la Politique sur la vérification interne du Secrétariat du Conseil du Trésor et les Normes relatives à la vérification interne au sein du gouvernement du Canada, dont la qualité est attestée par les résultats du Programme d’assurance et d’amélioration de la qualité.

3. Conclusion

Conclusion de l’audit

L’application du Cadre de surveillance (CS) du BSIF est un processus complexe qui requiert beaucoup de jugement d’expert et une approche disciplinée et structurée. La méthodologie oblige les équipes relevant des chargés de surveillance et les groupes de soutien, dont la DRC, à travailler de près pour intégrer leurs travaux et mettre à profit l’expertise de chacun. C’est ainsi que, pour faciliter la pleine intégration des résultats de ses travaux au processus de surveillance, il importe que la DRC applique systématiquement le Cadre de surveillance du BSIF comme prévu.

Puisqu’il faut renforcer le processus et les pratiques de surveillance de la DRC et accroître sa contribution au processus global de surveillance du BSIF, cette dernière a récemment lancé des initiatives de changement pour doter les postes vacants, procéder à une restructuration et apporter des modifications aux processus. Ces changements semblent convenir aux orientations, et il faudra un certain temps pour les mettre pleinement en œuvre.

Nous reconnaissons que la nouvelle équipe de direction de la DRC a élaboré une stratégie pour corriger les problèmes mis au jour par l’autoévaluation, et qu’elle a guidé la Division au cours d’une période de changements progressifs et positifs. Elle a notamment joué un rôle clé dans la promotion du « partenariat » et de la « responsabilité conjointe » pour évaluer le risque de crédit d’une institution.

Bien que la stratégie actuelle de la direction puisse être liée à un plan à court terme visant à régler les problèmes immédiats, elle ne repose pas sur un plan à plus long terme pour assurer le rendement durable de la DRC au fil du temps. La stratégie étendue mais informelle devra être articulée dans une structure logique comprenant des buts stratégiques primaires, des objectifs, des plans et des jalons raisonnables (c.-à-d. une « feuille de route »), de même que des mesures adéquates d’efficacité intégrées au processus au fil des jalons. La direction de la DRC reconnaît qu’elle devra relier sa stratégie à des mesures d’efficacité du rôle de soutien de la Direction.

Nous recommandons à la direction de poursuivre ses efforts dans les domaines suivants, qui sont importants pour aider la DRC à s’acquitter de son mandat de groupe de soutien.

  1. Préciser et bien faire comprendre les attributions qui découlent du mandat de la DRC.
  2. Améliorer le cadre de suivi et de planification fondée sur les risques pour mieux planifier et équilibrer les ressources ainsi que les travaux de surveillance prévus.
  3. Élaborer un manuel opérationnel comprenant des outils et des consignes techniques qui s’harmonise avec la méthodologie du BSIF et permet à la DRC de parvenir à ses conclusions de manière structurée et systématique, de manière à intégrer efficacement les résultats des travaux de la DRC au processus de surveillance.
  4. Améliorer les examens de contrôle qualité effectués à chaque étape du processus de surveillance, et veiller à ce qu’ils produisent les résultats souhaités et soient efficaces.
  5. Améliorer les contrôles encadrant la collecte, l’utilisation, la conservation et l’aliénation des renseignements personnels par la DRC.
  6. Améliorer le processus/cadre pour gérer efficacement les ressources externes de la DRC.

Nous tenons à souligner l’excellent rapport et l’excellent échange de points de vue avec tous ceux ayant participé à l’audit. Leur coopération et leur contribution ont été des plus précieuses pour la bonne marche de notre examen.

 

Signature_________________________________
Dirigeant principal de l’audit, AI

_________________________________
Date

4. Réponse de la direction

Réponse

La direction de la DRC tient à souligner les efforts de l’AI en lien avec cet audit. Les membres de l’équipe de l’AI étaient à la disposition des dirigeants de la DRC pour répondre à leurs questions au sujet du déroulement et des conclusions de l’audit. Comme les dirigeants actuels de la DRC ont pris cette dernière en charge deux semaines avant la fin de la période à l’étude, il est utile de pouvoir compter sur une évaluation indépendante et objective des travaux d’évaluation du risque de crédit effectués par la DRC et des processus employés à cette fin.

La DRC souscrit aux grands thèmes du présent rapport.

Sauf indication contraire, il incombe au directeur principal de la DRC de rendre compte de tous les plans d’action.

5. Observations et recommandations

Observation 1 - Mandat de la DRC :

Le mandat de la DRCNote de bas de page 1 consiste à :

  • conseiller et aider le Secteur de la surveillance en réalisant des activités de contrôle, des examens sur place et des interventions préventives auprès des institutions financières fédérales (IFF) en ce qui touche le risque de crédit;
  • aider le Secteur de la surveillance à suivre et à évaluer les problèmes systémiques ou sectoriels liés au risque de crédit qui sont susceptibles d’avoir une incidence négative sur les institutions.

Le mandat de la DRC comporte donc un volet institutionnel et un volet systémique.

En vertu de son mandat, la DRC « participe à la surveillance efficace et efficiente de l’ensemble des IFF »; elle est chargée :

  • de surveiller l’environnement financier IFF en ce qui touche aux risques de crédit, afin de détecter les IFF à la traîne et les tendances ou les risques liés au crédit;
  • d’évaluer le risque de crédit conformément au Cadre de surveillance du BSIF, de cerner les risques en temps opportun et de recommander des correctifs.

Les entrevues auprès de membres des groupes du Secteur de la surveillance ont permis de constater que les attributions de la DRC manquent encore de clarté. C’est le cas, par exemple, du rôle et de la portée de la DRC à l’égard des institutions hors conglomérat, y compris les bureaux régionaux. La DRC exécute des activités de surveillance qui ciblent l’identification des risques et l’évaluation des risques de crédit institutionnels émergents au sein des conglomérats (institutions de dépôts et assureurs-vie). Quant aux institutions hors conglomérat, la DRC appuie « au besoin » l’évaluation de leurs risques.

Le manque de clarté des attributions de la DRC semble empêcher cette dernière et les groupes de surveillance avec lesquels elle travaille d’établir et de mettre en place des rapports professionnels efficaces. Compte tenu du processus de surveillance intégré du BSIF et puisque les chargés de surveillance s’attendent à ce que la DRC fasse preuve de leadership et leur fournisse des consignes à l’égard de leurs stratégies et plans institutionnels respectifs pour cerner et évaluer les questions liées au risque de crédit, le manque de clarté des attributions pourrait entacher l’évaluation des risques des institutions et/ou les mesures de surveillance.

Recommendations :

Pour accroître la capacité de la DRC de s’acquitter de son mandat :

1.1 La haute direction du BSIF doit conférer une orientation à la DRC pour ce qui est de définir plus précisément ses attributions en matière de recensement et d’évaluation des risques et des enjeux nouveaux, et d’aider les chargés de surveillance à élaborer des stratégies et des plans de surveillance pour les IFF qui pourraient être pénalisées par cette nouvelle définition;

1.2 La haute direction du BSIF doit orienter le fonctionnement de l’interaction entre la DRC et les chargés de surveillance et les autres groupes de soutien avec lesquels elle travaille, de même que les responsabilités relatives qui en découlent.

Mesures préconisées par la direction :

La haute direction du BSIF précisera les attributions  à l’intention des GSS et des équipes relevant des chargés de surveillance lors de la mise à niveau du Cadre de tolérance au risque, et en examinant l’Accord de travail et principes de surveillance et des mandats des GSS afin de concrétiser le concept d’« un seul bureau », ce qui devrait être achevé en janvier 2016. Cette constatation relève du surintendant.

Observation 2 - Suivi et planification fondée sur les risques par la DRC

À titre de groupe de soutien, la DRC joue un rôle important dans le processus de surveillance du BSIF en ce qui touche l’évaluation des activités d’envergure des institutions qui comportent un élément de risque de crédit inhérent et qui pourraient être touchées par des risques ou des problèmes de crédits émergents et systémiques. Il faut donc un processus clairement défini pour déceler et évaluer les risques de crédit systémiques émergents dans tous les secteurs, de même que leurs répercussions sur certaines IFF, pour mettre au point des plans de surveillance clairement fondés sur les risques. Les extrants de ce processus constituent ce dont les chargés de surveillance ont besoin pour leur processus annuel de planification de la surveillance afin qu’ils puissent élaborer une stratégie de surveillance pour les IFF qui leur sont confiées. À défaut, des problèmes prudentiels pourraient ne pas être décelés, et la DRC pourrait mal répartir ses ressources ou effectuer des travaux de surveillance inutiles en raison d’une planification inefficace.

Le processus utilisé par la DRC pour faire le suivi des risques et des enjeux de crédit systémiques émergents et pour prioriser son univers d’IFF en fonction des risques afin d’établir ses plans de travail à court et à long terme a été élaboré à l’échelle des conglomérats, et non à l’échelle systémique. Ce processus de suivi n’englobe peut-être pas l’ensemble des secteurs ou des institutions (institutions hors conglomérat, assureurs multirisques, etc.) puisqu’il se limitait aux conglomérats.

Les groupes du Secteur de la surveillance et la DRC ont participé activement à diverses tribunes et réunions (formelles et informelles) de suivi qui ont débouché sur une perspective des risques pour les IFF comprenant la priorisation des risques et les répercussions sur les plans de travail, les chargés de surveillance et la DRC prenant en charge l’élaboration de la stratégie et du plan de surveillance pour évaluer les questions liées aux risque de crédit à l’échelle des IFF. L’AI n’a pas été en mesure de suivre la chaîne des décisions de planification de la DRC et ses critères d’affectation des ressources puisqu’il était difficile d’établir des liens avec les plans de travail de surveillance de la DRC, y compris les résultats des travaux de surveillance. Les documents de planification institutionnelle de la DRC indiquent habituellement les besoins en ressources prévus, mais ils ne comprennent pas l’analyse et la justification fondée sur les risques nécessaires pour étayer les objectifs et la portée des travaux que la DRC s’était engagée à effectuer ou les problèmes de crédit spécifiques sur lesquels elle devait se pencher. Les travaux de surveillance de la DRC étaient largement tributaires des ressources disponibles.

Recommendations :

2.1 Renforcer le processus de suivi et de planification de la DRC afin que cette dernière puisse démontrer clairement et de façon adéquate :

  • la justification et la démarche de planification fondée sur les risques qui sous-tend les décisions de planification de la Division, comprenant des liens clairs avec ses travaux de surveillance;
  • les critères d’attribution des ressources et de définition des besoins;
  • l’harmonisation avec les objectifs de surveillance et les risques prioritaires institutionnels des chargés de surveillance;
  • que l’ampleur des travaux de surveillance prévus auprès des institutions traduisent le niveau de risque et l’importance des préoccupations que les chargés de surveillance entretiennent à l’égard des institutions.

Mesures préconisées par la direction :

En ce qui touche le suivi et la planification fondée sur les risques par la DRC (recommandation 2), nous reconnaissons et convenons qu’il faut mieux documenter les critères et les raisons qui sous-tendent les décisions fondées sur les risques que nous prenons dans le cadre de notre processus de planification. Par conséquent, nous élaborerons des procédures appropriées en prévision du prochain cycle de planification, soit d’ici le 30 septembre 2015, pour veiller à ce que les liens appropriés soient clairement documentés.

Observation 3 - Examens de surveillance de la DRC : Planification, exécution, rapports et suivi

Les consignes techniques et les outils de la DRC s’harmonisent bien avec le Cadre de surveillance du BSIF; facilitent la mise en œuvre uniforme du processus de surveillance à l’échelle de la Division; et permettent d’intégrer efficacement les travaux de la DRC et les travaux de surveillance des équipes relevant des chargés de surveillance.
 
L’AI a examiné les notes de section et d’autres documents de surveillance préparés par le personnel de la DRC au cours des étapes de planification, d’exécution, de présentation de rapports et de suivi des examens de crédit effectués auprès des IFF. La documentation devait résumer les évaluations du risque de la DRC, ses conclusions et ses cotes à l’égard de la fonction de qualité de la gestion du risque (QGR) de l’institution.

La direction de la DRC est déterminée à utiliser le Cadre de surveillance du BSIF comme principal levier méthodologique de ses processus. Même si le personnel de la Division a démontré une bonne compréhension des risques inhérents aux activités de crédit des institutions, les évaluations du risque de crédit établies par la DRC n’étaient pas toujours conformes au Cadre de surveillance du BSIF. Nous avons relevé ce qui suit.

  • D’après les documents que nous avons examinés, la plupart des évaluations de surveillance, conclusions et cotes des fonctions de QGR des IFF établies par la DRC s’appuyaient sur les résultats de l’évaluation de la Gestion opérationnelle (GO) par la DRC. Cette approche de surveillance peut se traduire par des cotes de QGR inexactes, et elle rend l’intégration des résultats des travaux de la DRC aux travaux des équipes relevant des chargés de surveillance plus difficile et inefficace en raison des différences de contenu. Par exemple, la DRC n’a pas évalué l’adéquation, l’intégralité et l’efficacité des rapports de gestion du risque de crédit que le conseil d’administration et la haute direction des IFF reçoivent à des fins de prise de décisions, de gestion des risques et de contrôle.
  • Compte tenu des variations potentielles des principaux risques inhérents aux activités de crédit des IFF de toute taille et des différences d’ampleur et de rigueur des principaux contrôles d’atténuation, il faut considérer adéquatement les particularités des méthodes et des pratiques de supervision des IFF et des fonctions de QGR permettant de gérer le risque de crédit. Cela aidera à déterminer l’orientation sur les risques, la portée, la nature et l’ampleur des travaux de surveillance à effectuer auprès des institutions. L’examen des documents de surveillance de la DRC montre que l’exercice de planification de cette dernière ne tenait pas toujours compte de ces renseignements. L’ampleur des travaux reposait surtout sur un « examen standard ».
  • L’examen standard effectué par la DRC nécessitait beaucoup de temps et de ressources; il ciblait les politiques de crédit des IFF; les contrôles de gestion opérationnelle; et un nombre « établi » de dossiers de crédit. Or, le nombre de dossiers de crédit examinés par la DRC ne reposait sur aucune méthodologie d’échantillonnage justifiant l’approche fondée sur les risques de la DRC ou s’harmonisant avec les objectifs visés par cette dernière. Ces examens peuvent – ou non – cerner les problèmes sous-jacents de gestion du risque de crédit et pourraient rassurer la DRC jusqu’à ce que des circonstances imprévues ne révèlent que cette impression est illusoire.
  • Pour veiller à ce que le processus de surveillance soit efficient et efficace, le modèle du BSIF utilise au besoin les travaux des fonctions de QGR des institutions ou de tiers puisque cela donner une idée de l’ampleur des tests directs que doivent effectuer les surveillants pour évaluer l’efficacité de la GO. De plus, le recours au besoin aux travaux des fonctions de QGR peut aider à coordonner la portée, à minimiser le double emploi et à concentrer les ressources de la DRC sur les risques et les contrôles présentant un intérêt plus élevé, voire critique, pour le BSIF. L’AI note que, lorsqu’ils sont disponibles, les résultats des travaux des fonctions de QGR et de tiers ne sont pas utilisés de façon appropriée.
  • Le processus de suivi de la CRD n’était pas intégré de manière efficace à son processus de surveillance. Cette absence de suivi pour veiller à ce que les recommandations soumises antérieurement aux IFF soient évaluées adéquatement et en temps opportun afin d’en assurer l’adéquation et la mise en œuvre efficace a créé des problèmes opérationnels pour les chargés de surveillance.
  • L’exécution des plans de travail de la DRC a souffert de retards significatifs en raison d’une supervision défaillante de la planification et de divers facteurs opérationnels. Les obligations redditionnelles des chargés de surveillance envers les IFF ont donc été touchées. Bien que la DRC ne soit peut-être pas en mesure de contrôler tous les facteurs retardant les travaux, elle doit gérer de façon plus serrée l’exécution de ses plans de travail (et faire un rapprochement adéquat entre les travaux prévus et ceux effectués) et la présentation de ses rapports.

Recommendations :

Pour renforcer le processus de planification, d’exécution, de rapport et de suivi de la DRC, il faudra :

3.1 Élaborer un cadre et un manuel opérationnel formels assortis d’outils et de consignes techniques qui s’alignent bien avec le Cadre de surveillance du BSIF afin de couvrir toute la gamme de travaux de surveillance de la DRC et qui satisfont aux objectifs suivants :

  • faire en sorte que la démarche d’examen de la DRC soit assez souple pour s’adapter au niveau de risque de chaque IFF et aux préoccupations de surveillance spécifiques des chargés de surveillance (il n’y a pas toujours de solution unique);
  • permettre à la DRC de tirer des conclusions de manière structurée et systématique pour faciliter l’intégration de ses travaux au processus global de surveillance des chargés de surveillance;
  • pouvoir utiliser au besoin les résultats des travaux des fonctions de QGR pour coordonner la portée des travaux et minimiser le double emploi;
  • intégrer pleinement les activités de suivi au processus de surveillance de la DRC.

3.2 Examiner périodiquement la méthodologie formelle de la DRC (y compris les consignes, les outils et les documents types comme la lettre préalable à l’examen) pour s’assurer qu’ils demeurent pertinents et pour tenir adéquatement compte des changements de l’environnement ou du processus de surveillance du BSIF.

3.3 Vérifier si la DRC peut partager certains de ces outils afin de promouvoir des communications claires entre les groupes du BSIF au sujet des travaux qu’elle effectue et, du même coup, transférer des connaissances aux équipes relavant des chargés de surveillance.

Mesures préconisées par la direction :

En ce qui touche la section « Examens de surveillance de la DRC : Planification, exécution, rapports et suivi » (recommandations A.3.1 et A3.2), nous reconnaissons qu’il faut doter la DRC d’un guide opérationnel global qui englobe la gamme de guides et d’outils existants, de même que les nouveaux guides et outils à mettre au point en lien avec l’initiative élargie de formation en cours à l’échelle du secteur de la Surveillance.

Nous avons demandé à la Division des pratiques de revoir toute consigne opérationnelle que nous établissons dans le cadre de l’initiative élargie de formation pour veiller à ce qu’elle s’harmonise avec le Cadre de surveillance et étoffe les guides de plus haut niveau existants de la Division des pratiques. Même si la mise en œuvre de l’initiative élargie de formation pourrait prendre jusqu’à trois ans, nous fixons au 31 mars 2016 l’échéance de l’élaboration du guide opérationnel pour la DRC, attendu qu’il continuera d’être mis à jour pendant les trois ans de l’initiative.

S’agissant de la recommandation 3.3, l’initiative susmentionnée de formation à l’échelle du Secteur de la surveillance fait une place au concept de partage des outils et au transfert des connaissances.

Observation 4 - Examen de contrôle de la qualité de la DRC

Des examens de contrôle de la qualité sont effectués à chaque étape du processus de surveillance de la DRC par le palier de gestion approprié, conformément au guide de surveillance G-19 pour veiller à ce que le Cadre de surveillance du BSIF soit appliqué de manière appropriée et uniforme, comme prévu.

De façon générale, ces examens n’ont pas mis au jour certaines de nos constatations en lien avec les documents de surveillance de la DRC que nous avons examinés. Un taux de roulement élevé et l’arrivée à la DRC de nouveaux cadres qui ne connaissent peut-être pas tout à fait le Cadre de surveillance du BSIF et son application ou n’ont pas reçu la formation requise peuvent avoir contribué à ce problème puisque le personnel de la DRC avait pour consigne d’appliquer une approche de surveillance qui n’était pas toujours alignée avec le Cadre de surveillance du BSIF.

De plus, le personnel de la DRC a consacré beaucoup de temps et d’efforts à des examens d’assurance qualité ciblant les travaux des experts-conseils de la Division. Dans certains cas, ces examens semblaient consister à refaire carrément l’examen des dossiers de crédit effectué par les experts-conseils. On ne sait trop si la direction avait bien évalué l’efficience et l’efficacité de la nature et de la portée de ces examens, lesquels ont eu un impact significatif sur les délais d’achèvement des travaux et de présentation des rapports de la DRC.

Recommendations :

4.1 La DRC devrait songer à demander à la Division des pratiques de donner une formation sur le Cadre de surveillance du BSIF et les guides connexes pour aider à corriger les situations où les principes du Cadre de surveillance ne sont pas suivis ou appliqués comme prévu.

4.2 Il faut mettre entièrement en œuvre les exigences du guide de surveillance G-19 pour veiller à ce que les examens de contrôle de la qualité (y compris les examens d’assurance qualité portant sur les travaux d’experts-conseils) donnent les résultats prévus et soient effectués de manière efficace et en temps opportun. La direction réévaluer la nature et la portée des examens d’assurance qualité et en démontrer la valeur.

Mesures préconisées par la direction :

S’agissant de la recommandation 4.1, nous reconnaissons que nos consignes antérieures ne s’harmonisaient pas toujours avec le Cadre de surveillance en ce qui touche la manière dont nos conclusions devaient être documentées dans le Document d’évaluation des risques et dans la Matrice de risque. Comme on l’a vu, la Division des pratiques a accepté d’examiner les documents que nous produirons pour veiller à ce qu’ils s’harmonisent avec le Cadre de surveillance.

S’agissant de la recommandation 4.2, nous convenons qu’il serait possible de rendre notre processus d’assurance qualité plus efficient dans le cadre de nos efforts globaux en vue d’accélérer nos travaux d’examen, lesquels devraient être complétés d’ici le 31 décembre 2015.

Observation 5 - Respect des exigences de la Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels et son règlement d’application établissent le cadre juridique régissant la collecte, la conservation, l’utilisation et l’aliénation des renseignements personnels. Ces derniers comprennent notamment les numéros d’identification comme le numéro d’assurance sociale (NAS). Les institutions fédérales qui recueillent des renseignements personnels doivent y être autorisées par le Parlement. Aux termes de la Loi sur la protection des renseignements personnels, on ne peut recueillir ce type de renseignements que s’ils sont directement visés par un programme ou une activité de cette nature. Les institutions fédérales doivent démontrer qu’elles doivent recueillir ou utiliser les NAS aux fins de ce programme ou de cette activité, et demander l’autorisation du Conseil du Trésor avant d’instaurer une nouvelle collecte ou utilisation uniforme du NAS.

Aux fins d’examen des prêts de détail, la DRC demande aux IFF de soumettre des photocopies de tous les documents des emprunteurs contenant des renseignements personnels (dont le NAS) contenus dans les dossiers de crédit choisis pour son examen sur place. Les experts-conseils de la DRC utilisent ces documents pour leur examen détaillé des dossiers de crédit. On a relevé des cas où les institutions ont également fourni à la DRC des copies électroniques de ces documents, qui ont été conservées dans le système de documents électroniques du BSIF. L’accès aux documents électroniques n’était pas suffisamment restreint.

La DRC a pour pratique de conserver les photocopies des documents des emprunteurs contenant des renseignements personnels (dont le NAS) une fois l’examen sur place terminé. Les documents sont entreposés dans les classeurs verrouillés de la DRC jusqu’à ce que son personnel soumette le travail de ses experts-conseils à un examen d’assurance qualité, puis confiés au groupe des Dossiers du BSIF.

Le Conseil du Trésor a émis une Directive sur le numéro d’assurance sociale qui s’applique lorsque les institutions fédérales recueillent le NAS à des fins administratives ou non, comme le prévoit la Loi sur la protection des renseignements personnels. La Directive comporte des exigences visant la collecte, l’utilisation et la divulgation du NAS par les institutions fédérales. Ainsi, seules les institutions fédérales visées à l’annexe A de la Directive peuvent recueillir le NAS. Le BSIF ne figure pas dans la liste contenue à l’annexe A.

Même si le BSIF n’utilisera pas les renseignements personnels concernant un emprunteur pour prendre des décisions affectant directement ce dernier, la Directive s’applique sans doute puisque le BSIF est une institution fédérale qui recueille le NAS.

Recommendations :

5.1 Songer à faire en sorte que le personnel de la DRC procède à l’examen d’assurance qualité des travaux des experts-conseils alors même que se déroule l’examen sur place.

5.2 Déterminer s’il est nécessaire que la DRC obtienne les renseignements personnels relatifs à un emprunteur (dont le NAS) auprès des institutions pour examiner les dossiers de crédit et, dans l’affirmative, comment les exigences de la Directive du Conseil du Trésor s’appliquent au BSIF.

5.3 Améliorer au besoin les contrôles portant sur les renseignements personnels concernant les emprunteurs que recueille, utilise et conserve la DRC pour veiller à ce qu’ils soient adéquatement protégés.

Mesures préconisées par la direction :

La DRC a modifié ses procédures opérationnelles pour demander aux IFF de caviarder systématiquement les NAS dans les documents préalables aux examens avant de soumettre ces derniers au BSIF.

S’agissant de la recommandation A.5.2, nous reconnaissons qu’il y a lieu de revoir nos procédures opérationnelles en fonction des exigences de la Loi sur la protection des renseignements personnels, et ce sera fait en priorité. À cette fin, nous avons discuté avec le directeur, Gestion de l’information d’entreprise, lequel a chargé un expert-conseil externe de soumettre la DRC à une évaluation des facteurs relatifs à la vie privée d’ici le 31 août 2015. Si cette évaluation recommande de modifier nos procédures, nous apporteront les changements nécessaires d’ici le 30 novembre 2015.

Observation 6 - Gestion des ressources externes de la DRC

Afin de s’acquitter de son mandat, la DRC a besoin de ressources ayant des aptitudes, des connaissances et une expérience pertinentes. Ces ressources doivent pouvoir effectuer des analyses poussées et poser des jugements sur des questions complexes faisant appel à des connaissances spécialisées en matière de crédit, le tout dans des délais serrés et dans un environnement de crédit qui change rapidement. Il importe que l’embauche de ces ressources repose sur une évaluation rigoureuse de leurs qualifications. Il faut également les gérer de manière efficace et assurer leur maintien en poste.

La DRC dispose d’un programme de formation qui permet de cerner le niveau minimum des connaissances de son personnel interne à divers échelons. Par contre, ses documents contractuels (l’énoncé des travaux) servant à recruter des experts-conseils externes ne faisaient état d’aucune qualification ni ne précisaient clairement la portée des travaux pour aider la DRC à choisir des experts-conseils potentiels. Par conséquent, on ne savait trop quelle était la stratégie de ressources humaines devant permettre à la DRC d’élargir les connaissances de son personnel et de combler le déficit de compétences grâce aux connaissances et à l’expertise d’experts-conseils externes.

La DRC mise beaucoup sur des experts-conseils externes pour effectuer l’examen des dossiers de crédit des institutions. La qualité de ses travaux est largement tributaire de l’expérience de ces experts-conseils. De façon générale, la DRC semble faire bon accueil à leurs travaux. Toutefois, même si nous n’avons pas évalué la qualité des experts-conseils embauchés, il importe de noter que les connaissances de ces derniers peuvent devenir progressivement désuètes en raison de la complexité croissante des activités et des produits de crédit et de la nouveauté du concept des pratiques de gestion des risques.

Nous nous sommes penchés sur le processus adopté par la DRC pour embaucher et gérer les experts-conseils externes, et nous avons relevé ce qui suit.

  • Il n’y a pas de programme formel comprenant des qualifications qui indique le niveau requis d’aptitude, d’expérience et d’expertise.
  • La base de données existante ne contient que peu de renseignements sur les experts-conseils. Les questions comme l’accréditation, les conflits d’intérêts potentiels, les années service auprès de la DRC ou du BSIF, les domaines d’expertise, l’évaluation du rendement et les besoins de formation faisaient l’objet d’un processus informel.
  • L’examen du rendement des experts-conseils à la fin de chaque tâche par la DRC était informel et non systématique. Le processus visant à évaluer le rendement et la qualité du travail d’examen des experts-conseils et à en discuter avec eux manquait de rigueur n’avait pas de but précis. On ne sait trop comment les résultats de ces examens ont été utilisés pour aider la DRC à gérer ses experts-conseils externes.
  • Vu la complexité croissante des activités et des produits de crédit et/ou des pratiques de gestion des risques, on pourrait devoir faire davantage pour s’assurer que les experts-conseils consacrent suffisamment de temps à leur formation et à leur apprentissage du contexte approprié des priorités en matière de risques et des problèmes de surveillance des IFF qui leur seront confiées.

Recommendations :

6.1 La direction de la DRC devrait évaluer la capacité de la Division, ainsi que  ses besoins en compétences, en lien avec les objectifs et la stratégie de ressources humaines de cette dernière afin que toutes les lacunes constatées puissent être adéquatement comblées pour que la DRC dispose des connaissances spécialisées et du personnel qualifié nécessaires à l’exécution de son mandat de surveillance.

6.2 La direction devrait évaluer périodiquement la pertinence et l’étendue de l’ensemble des aptitudes, des connaissances et de l’expertise de ses ressources internes et externes, et cerner les aspects à développer par la formation ou l’apprentissage.

6.3 Il faudrait améliorer les processus d’embauche et de gestion des ressources externes de la DRC, et mettre en place un cadre qui comprend :

  • des énoncés de travail clairement définis indiquant les qualifications requises;
  • un processus de sélection clair qui montre en quoi les ressources présentent les qualifications et l’expérience qu’exige le travail qui leur est confié;
  • la mise à jour de l’information sur les ressources externes pour appuyer le maintien du recours à leurs services et les décisions au sujet des affectations futures;
  • l’évaluation du rendement des ressources externes à la fin de chaque affectation et sa prise en compte dans les affectations futures et/ou les besoins d’apprentissage.

Mesures préconisées par la direction :

S’agissant de la recommandation A.6, depuis l’automne 2014, la DRC s’emploie à exécuter un plan d’action pour accroître la taille, la qualité et la capacité du bassin, et pour documenter les procédures connexes. Ce travail devrait être achevé le 30 septembre 2015.

Notes de bas de page

Note de bas de page 1

Mandat de la DRC, janvier 2013

Retour à la référence de la note de bas de page 1