Vous êtes sur la page 1sur 20

Rapport de vrification interne de la

gestion du risque dentreprise


Bureau du surintendant des institutions
financires

Novembre 2011

Table des matires


1. Contexte ......................................................................................................................... 3
2. Objectif, porte et mthode de la vrification ................................................................ 6
3. Conclusion ...................................................................................................................... 8
4. Rponse de la direction .................................................................................................. 9
5. Observations et recommandations ............................................................................... 11
Annexe A Critres de contrle de la GRE .................................................................... 17
Tableau 1: Structures et interactions de la GRE .............................................................. 19
Tableau 2: Processus dvaluation du risque ................................................................... 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

1. Contexte
Introduction

Les travaux dassurance de la Vrification interne visent dterminer si les


processus de gestion du risque, les dispositifs de contrle et la structure dcisionnelle
du Bureau du surintendant des institutions financires (BSIF), tels que conus et
prsents par la direction, sont adquats et fonctionnent de manire pouvoir cerner
et grer adquatement les facteurs de risque.
Le Comit de vrification et la surintendante ont consenti ce quune vrification de
la gestion du risque dentreprise (GRE) soit inscrite au Plan de vrification interne
du BSIF pour 2010-2011. Le prsent rapport rend compte des rsultats de cette
vrification. Il sappuie sur les travaux achevs la fin davril 2011. Les
recommandations aideront lquipe responsable de la GRE sans cesse amliorer le
cadre de contrle de la gestion des risques.
Le prsent rapport a t soumis au Comit de vrification et il a t approuv par la
surintendante en novembre 2011. La surintendante et les surintendants auxiliaires,
qui ont prpar la rponse de la direction quon trouvera dans prsent rapport, en ont
galement pris connaissance.
Raison pour laquelle la gestion des risques est importante
La gestion des risques aide le BSIF mettre au point un cadre gnral pour grer ses
risques et lui permet de formuler des stratgies visant attnuer les risques et
harmoniser ressources et priorits pour sassurer de toujours respecter ses plans et
priorits.
Conformment la Politique sur la vrification interne et la Directive sur les
comits ministriels de vrification du SCT, le comit :

doit exercer d'une manire intgre, axe sur le risque et


mthodique une surveillance des principaux secteurs de gestion, de
contrle et de reddition de comptes, y compris l'tablissement de
rapports, au sein du ministre et
est charg d'examiner le profil de risque du ministre et de donner
tout conseil pertinent ce sujet l'administrateur gnral
Objectifs
oprationnels

La gestion du risque dentreprise du BSIF se dfinit tout simplement ainsi.

La gestion du risque consiste grer le risque lintrieur de


limites de tolrance tablies. 1
Le risque est dfini comme suit.
Le risque sentend de tout obstacle la ralisation des objectifs de
lorganisation.
La tolrance au risque sentend :
du niveau de risque rsiduel que lon est prt assumer compte tenu
de lampleur des contrles .
Suite la page suivante

Cadre de gestion du risque global au BSIF (Novembre 2008). la recommandation du Secrtariat du Conseil du Trsor, la
notion de risque global est maintenant rendue par le terme risque dentreprise .

Rapport de vrification sur la GRE

Page 3 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

1. Contexte, suite
Contexte

Le contexte dans lequel le BSIF volue comporte des lments des risques susceptibles
de nuire la ralisation de son mandat et de ses objectifs. Mme si bon nombre de ces
risques sont omniprsents, la mesure dans laquelle ils menacent la ralisation des
objectifs du BSIF varie selon la conjoncture conomique et financire et daprs le
contexte du secteur des services financiers. Lexcution du mandat et la ralisation des
objectifs du BSIF dpend de la capacit de ce dernier de recenser, dvaluer, de prioriser
et de dvelopper, en temps utile et de manire efficace, des initiatives axes sur les
aspects o son exposition au risque est la plus leve.
La GRE permet au BSIF de cerner et de grer ses risques de manire proactive au moyen
dun processus dvaluation continue des risques. Lapproche de communication en
amont et en aval de la GRE permet de faire en sorte que ceux dont la connaissance de
lorganisation est la plus tendue peuvent contribuer en temps opportun la
dtermination et lvaluation des principaux risques et que des stratgies dattnuation
soient intgres la planification stratgique et des activits. Cette approche favorise
ladoption et le soutien des cadres, des gestionnaires et des employs pour garantir la
qualit et luniformit de lapplication de la GRE ainsi que sa capacit dvaluer
limportance relative des risques dans lensemble du BSIF.
LAnnexe 1 : GRE Structures et interactions nonce les cinq composantes de la
structure de la GRE du BSIF, son intgration et ses interactions ainsi que la provenance
de linformation sur la gestion des risques.
Gestion des risques GRE
Dans son Cadre de gestion du risque dentreprise au BSIF, le BSIF classe les risques en
deux catgories : externes et internes. La catgorie des risques externes comprend la
conjoncture conomique et financire, le contexte du secteur des services financiers, le
cadre juridique du BSIF et les catastrophes. Ils sentendent dvnements dont le BSIF
ne peut changer le cours, mais quil doit tre en mesure de surveiller afin den attnuer
les rpercussions.
La catgorie des risques internes comprend les risques gnralement lis aux ressources
humaines, aux processus (processus dcisionnel, processus internes et processus de
gestion des relations), aux systmes lappui et la culture (valeurs fondamentales et
gestion du changement).
Le coordonnateur de la GRE du BSIF supervise le processus de GRE lchelle de
lorganisation et prsente la direction un survol trimestriel des risques. Les
coordonnateurs sectoriels des risques sont chargs de coordonner le processus sectoriel
didentification, danalyse et de signalement des risques au sein de chaque secteur,
conformment la Politique sur la gestion du risque dentreprise au BSIF (la Politique
sur la GRE) et au Cadre de gestion du risque dentreprise au BSIF (le Cadre de GRE).
La GRE du BSIF est une faon systmatique de dvelopper et damliorer la capacit de
grer les risques lchelle de lorganisation grce la comprhension, lidentification,
la priorisation, lvaluation, au rglement et la communication des enjeux lis aux
risques au moyen dune approche dynamique dvaluation des risques.
Suite la page suivante

Rapport de vrification sur la GRE

Page 4 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

1. Contexte, suite
Contexte
(suite)

Gestion des risques des secteurs


Les coordonnateurs sectoriels des risques facilitent la vaste participation des
gestionnaires et des employs la gestion des risques et aux communications
permanentes grce des sances dinformation priodiques au cours desquelles les
responsables des secteurs font le point sur les principaux risques et sur les stratgies
dattnuation du secteur dont ils sont chargs. Les risques sont valus sur une base
trimestrielle, les registres des risques sont mis jour, de nouveaux risques y sont ajouts
ou des risques existants en sont retirs, selon le cas, et un rsum des risques est remis
la haute direction. Une fois lan, les risques sont valus de faon plus officielle et les
secteurs mettent jour leur registre des risques; ces registres servent prparer le
sommaire de la GRE qui est pris en compte dans le processus annuel de planification du
BSIF.
Comit dexamen des risques nouveaux
Le Comit dexamen des risques nouveaux (CERN) du BSIF se runit priodiquement
afin de cerner les principaux risques externes qui influent sur le secteur des services
financiers, de mme que les plans de travail et les priorits connexes associs ces
risques. Le Comit rend compte la haute direction et aux gestionnaires sur une base
permanente et les rsultats de ses valuations des risques sont intgrs au sommaire de la
GRE des fins de planification intgre.
Planification intgre annuelle
La Politique sur la GRE dfinit les attributions et les responsabilits de ceux qui
participent la gestion des risques et qui ont besoin des valuations des risques des
secteurs dtailles et formelles, des fins de validation avant le dbut du processus
annuel de planification intgre du BSIF qui servira au processus de planification de
lorganisation. Les coordonnateurs des risques de la GRE consolident les risques de leur
secteur dans un rsum des risques du secteur qui sert de composante cl du modle de
planification et du cycle de planification intgre du BSIF.
Rapports sur la gestion des risques
Outre les rapports sur la gestion des risques dans le cadre du processus annuel de
planification du BSIF, il y a des moyens formels et informels de rendre compte de la
gestion des risques, y compris les valuations de certains risques et les stratgies
dattnuation de ces risques mises en place. Linformation concernant les principaux
risques et les principales stratgies appliques figurent dans des communications
diffuses lchelle du BSIF, par exemple, LInfo-capsule; il en est question dans les
sances de discussion ouverte et elle fait priodiquement lobjet de sances
dinformation sur la gestion des risques du BSIF lintention du Comit de vrification.
Les responsables des secteurs et de la GRE mettent la haute direction et leurs
gestionnaires et employs respectifs des rsultats de leur valuation des risques (profil).
Le Comit dexamen des risques nouveaux rend galement priodiquement compte la
haute direction et aux gestionnaires des risques externes influant sur le secteur des
services financiers et de leurs ventuelles rpercussions sur les activits du BSIF. En
outre, lquipe de la GRE donne au Comit de vrification une sance dinformation
trimestrielle sur la gestion des risques au BSIF.
On rend officiellement compte de la gestion des risques au BSIF et des enjeux connexes
dans le document Plan et priorits du BSIF, le Rapport annuel et le Rapport ministriel
sur le rendement. Ces rapports tiennent compte des risques influant sur la capacit du
BSIF de raliser sa Priorit long terme.

Rapport de vrification sur la GRE

Page 5 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

2. Objectif, porte et mthode de la vrification


Objectif de la
vrification

Porte de la
vrification

La vrification a pour objet de fournir une assurance raisonnable :

du fait que le cadre de contrle 2 de la GRE permet de cerner, de prioriser, dvaluer,


de rgler et de communiquer les risques externes et internes et les pratiques de
contrle / dattnuation connexes (conception);

de la mesure dans laquelle :

la politique, les directives et les procdures sur la GRE et les


instruments / outils connexes sont compris et en place et quils fonctionnent tel
que prvu (oprations);

la GRE est intgre la planification (stratgique et des activits) de


lorganisation et aux oprations des secteurs;

les rapports et les communications sur la GRE sont intgrs aux rapports et
communications du BSIF.

La vrification porte sur le cadre de contrle de la GRE au 1er dcembre 2010 et sur les
amliorations en cours / prvues.
La vrification est axe sur la Politique sur la GRE et les procdures et les
instruments / outils connexes utiliss pendant la priode du 1er avril 2010 avril 2011.
Questions hors de la porte de la vrification

Mthode de la
vrification

Un examen du Cadre de planification intgre, sauf pour ce qui est de lintgration


de la GRE au processus de planification stratgique et de planification des activits
des secteurs.

Un examen des rapports sur le rendement du BSIF, sauf pour ce qui est de
lintgration des rapports sur la gestion des risques, sil y a lieu.

La vrification a t effectue selon les Normes internationales pour la pratique


professionnelle de la vrification interne de lInstitut des vrificateurs internes,
conformment la politique du Conseil du Trsor sur la vrification interne.
Dans le cadre de la vrification, trois examens ont t effectus.

Un examen de la politique, des procdures et des instruments / outils utiliss pour


valuer le cadre de contrle de la GRE et son intgration la planification
stratgique et des activits et aux oprations des secteurs / divisions ainsi que sa
conformit la politique, aux directives et aux consignes du gouvernement.
Un examen de lapplication du cadre de contrle de la GRE et des
renseignements / documents lappui utiliss pour cerner, prioriser et valuer les
enjeux lis aux risques, prendre des dcisions cet gard et soumettre les questions
aux chelons suprieurs ainsi que des communiqus / rapports sur les risques
externes et internes et les pratiques dattnuation connexes, y compris :
Suite la page suivante

Se reporter lannexe A sur les critres de contrle de la GRE, un tableau des lments de la structure
dcisionnelle, de gestion des risques et de contrle applicables la fonction de la GRE du BSIF.
Rapport de vrification sur la GRE
Page 6 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

2. Objectif, porte et mthode de la vrification, suite


Mthode de la
vrification
(suite)

les activits, processus et instruments / outils de gestion des risques aux fins de la
planification de la GRE au sein des secteurs et de lorganisation;

la supervision de la gestion des risques et les rapports et communications sur la


gestion des risques lchelle de lorganisation et des secteurs / divisions;

les attributions en matire de gestion des risques et les pratiques connexes du


Comit de vrification, de la haute direction et des responsables de la gestion des
oprations.

des entrevues :

avec le coordonnateur de la GRE et les coordonnateurs sectoriels des risques


ainsi quavec le directeur gnral, Finances et planification intgre;

avec les gestionnaires et les employs du secteur des Oprations qui participent
la gestion des risques et la planification intgre;

avec les gestionnaires qui appuient les divisions (GI / TI, Ressources humaines,
Finances, Scurit et Communications) pour ce qui est de lintgration de la
gestion de leurs risques la planification intgre et du secteur des Oprations;

avec les surintendants auxiliaires des secteurs, le prsident du Comit de


vrification et le surintendant.

Les rsultats de ces examens et entrevues sont consolids pour garantir que la GRE du
BSIF est uniforme et quilibre lchelle de lorganisation.
Critres de
contrle interne

Les Critres de contrle de la GRE, Annexe A, serviront de point de dpart lvaluation


du cadre de contrle de la GRE.
Ces critres sappuient sur les politiques, directives et consignes du gouvernement que
voici.

Politique sur la gestion des risques

Guide de mise en uvre de la gestion intgre du risque

Politique sur le contrle interne

Politique sur la vrification interne

Directive sur les comits ministriels de vrification

Cadre de responsabilisation de gestion


Cadre de contrle de la gestion et Vrification interne horizontale des profils de
risque des organisations dans les grands ministres et organisme, du Secteur de la
vrification interne du SCT (avril, 2010), et cadre de contrle reconnu lchelle
internationale du COSO 3 tel quadapt au contexte des activits et des risques du
BSIF

Recommandations de lvaluation indpendante de 2009 du programme de GRE


du BSIF
Suite la page suivante

COSO : Committee of Sponsoring Organizations of the Treadway Commission


Rapport de vrification sur la GRE

Page 7 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

3. Conclusion
Conclusion

Mme si le BSIF a instaur et applique toutes les composantes dun cadre de gestion des
risques complet au moyen de sa Politique sur la GRE, du Cadre de GRE et de son Cadre
de planification intgre et des consignes connexes, des amliorations simposent pour
en accrotre lefficacit ainsi quexpliqu dans le prsent rapport.
Un effort cibl doit tre dploy pour 4 :

adopter un cadre de contrle interne structur et exhaustif afin de garantir


luniformit dans lvaluation des contrles et des contrles des documents
provisoires pour les principaux risques;

amliorer la qualit et la cohrence des registres des risques, un outil indispensable


aux fins de la GRE, afin que les risques soient compris et regroups de la mme
faon lchelle du BSIF;

faire en sorte que lexposition aux risques soit plus transparente en la sparant de la
tolrance au risque, afin de faciliter la prise de dcisions lgard des risques.

Voici les pratiques de gestion et de contrle qui ont t observes lgard de la gestion
des risques du BSIF.

Au moyen de son analyse des forces, faiblesses, possibilits et menaces (FFPM) au


chapitre de la planification intgre, de ses sances de planification sans frontires
et de la surveillance continue des risques externes, nouveaux et internes, le BSIF
dmontre un engagement rigoureux lgard de la gestion des risques.

Avec sa Priorit long terme et lInfo-capsule, le BSIF tient les employs au


courant des risques qui importent.

Le Comit dexamen des risques nouveaux et la Division de la recherche cernent et


valuent les risques externes et nouveaux ventuelles sur le plan des rpercussions
quils pourraient avoir sur les institutions financires et les travaux et ressources de
rglementation et de surveillance du BSIF.

Les membres de la haute direction et du Comit de vrification sont mis au courant


des enjeux et des proccupations lis aux risques par lentremise du sommaire de la
GRE, qui se fonde sur les registres des risques, et de discussions individuelles.

Les risques sont consigns dans des registres trimestriels, par secteurs administratifs
et dactivits; ces registres font lobjet dun examen et dune mise jour plus
approfondis une fois lan en prvision de la planification et de ltablissement des
priorits.

Nous tenons souligner la collaboration et lchange de points de vue dont nous avons
bnfici tout au long de la vrification, spcialement les amliorations la GRE qui ont
t proposes. Sans le soutien obtenu, il aurait t impossible de procder un examen
de cette ampleur et de mettre laccent sur ce qui importe.
______________________________
Dirigeant principal de la vrification,
Vrification interne

__________________
Date

Suite la page suivante

Se reporter lAnnexe 2 : Processus dvaluation des risques


Rapport de vrification sur la GRE

Page 8 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

4. Rponse de la direction
Aperu

Nous remercions lquipe de vrification pour leur dmarche empreinte de collaboration


dans la conduite de cette vrification. Des reprsentants des fonctions de la GRE et de la
planification intgre ont pris connaissance des constatations, observations et
recommandations y figurant.
La direction accepte les trois principaux thmes du rapport (soit mthodologie, reddition
de comptes et production de rapports) et est gnralement daccord avec les observations
qui les appuient. Compte tenu des liens qui existent entre certaines des
recommandations, la direction souhaite formuler les commentaires que voici.

Rponse

Politique sur la GRE et Cadre de GRE Nous reconnaissons les rvisions


recommandes la Politique sur la GRE et au Cadre de GRE pour ce qui est de
prsenter le processus de gestion des risques du BSIF comme un outil de gestion
intgre et de faire renvoi aux robustes pratiques de communication des risques dj
instaures lchelle de lorganisation, et nous y souscrivons. Ces documents seront
rviss en consquence et une exigence stipulant que la Politique et le Cadre doivent
tre priodiquement examins et mis jour sera ajoute.
Cadre de contrle interne et documentation sur les contrles Le Comit de direction
a approuv une initiative visant planifier et dlimiter une approche pour laborer un
cadre de contrle interne lchelle de lorganisation. Les travaux cet gard,
notamment lintgration la GRE, ont t amorcs. Des reprsentants de la GRE et de
la planification intgre participent aux travaux du groupe de travail interne. Les
recommandations du groupe seront prsentes au Comit de direction au dbut de 2012.
Risque rsiduel et tolrance au risque Au dpart, la direction sparera le risque
rsiduel et la tolrance au risque pour chaque risque dans le cadre de la mthode de
prparation des registres des risques perfectionne. Au cours des derniers mois, le
Comit de direction a demand au surintendant auxiliaire des Services intgrs de
diriger une initiative visant passer en revue le Cadre de tolrance au risque du BSIF et
laborer une politique sur la propension prendre des risques. On envisagera la
possibilit de dfinir une tolrance au risque dentreprise pour les
secteurs / sous-secteurs dactivit, une fois la tolrance au risque de lensemble de
lorganisation dfinie.

Suite la page suivante

Rapport de vrification sur la GRE

Page 9 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

4. Rponse de la direction suite


Rponse (suite)

Qualit des registres des risques


- Mise jour trimestrielle des registres des risques Compte tenu du fait que la
prparation des registres des risques sur une base trimestrielle semble prendre du temps
(gnrant peu de nouveaux rsultats, voire aucun) et du chevauchement avec dautres
activits oprationnelles, la direction tudiera la possibilit de diminuer la frquence de
la prsentation des rapports et de la ramener une fois lan au niveau sectoriel selon un
calendrier conforme au processus de planification global. Par souci duniformit dans
les rapports, les grilles des registres des registres et les instructions pour les remplir
seront examins et mis jour. Les coordonnateurs sectoriels collaboreront pour
sassurer que la qualit des registres soit uniforme dun secteur lautre. Les pratiques
amliores de prparation des registres des risques et ltablissement de liens avec le
processus de planification intgre permettront de rehausser la qualit et la cohrence
du processus de GRE.
- noncs des rpercussions et tolrances Nous reconnaissons que le fait de prparer
des noncs des rpercussions aux niveaux des secteurs et des secteurs / sous-secteurs
dactivit facilite lvaluation des rpercussions dun risque sur les oprations et sur le
secteur en question. On envisagera la possibilit de dfinir la tolrance au risque aux
niveaux des secteurs / sous-secteurs dactivit et des secteurs, une fois dtermine la
tolrance au risque lchelle de lorganisation, comme nous lavons vu plus tt.
- Gestion des mesures dattnuation Nous nous pencherons sur des options pour
surveiller et suivre les mesures dattnuation et en rendre compte.
Processus de contrle
- Supervision de la direction Nous nous pencherons sur des options concernant la
prparation des rapports en vue de renforcer ou de complter le sommaire de la GRE,
lintention des cadres, afin de rehausser la transparence du profil de risque du BSIF
lintention de la haute direction. Nous envisagerons la possibilit de modifier la
mthodologie pour amliorer les rapports sur les risques nouveaux et les risques levs
lintention des gestionnaires.
- Gestion de linformation sur les risques notre avis, un systme de GRE automatis
et intgr pour renforcer notre processus de gestion des risques nest pas ncessaire
court terme et nous ne souhaitons donc pas amorcer des travaux cette fin pour le
moment.
- Capacit et comptences des responsables de la gestion des risques Nous sommes
daccord avec lide daffecter au dpart des ressources supplmentaires la mise en
uvre des amliorations au processus de GRE et nous pensons que cela peut se faire
mme leffectif dj en place. plus long terme, nous tudierons les besoins en
ressources (comptences et capacit) aux fins de la coordination soutenue de la fonction
de la gestion des risques au BSIF. Il faudra considrer les ressources requises en
fonction des liens au Cadre de contrle interne appliqu lchelle de lorganisation.
Suite la page suivante

Rapport de vrification sur la GRE

Page 10 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations
5.1
Politique sur la
gestion du risque
dentreprise et
Cadre de gestion
du risque
dentreprise

Observation : La Politique sur la GRE et le Cadre de GRE du BSIF nont pas t


examins et mis jour depuis 2005 et 2008, respectivement. Les
pratiques courantes ny sont donc pas entirement prises en compte.
La Politique sur la GRE et le Cadre de GRE du BSIF nont pas t examins et mis
jour depuis 2005 et 2008, respectivement. Ainsi, ces documents ne prennent pas en
compte toutes les pratiques ayant cours lheure actuelle. Par consquent :

Le Cadre de GRE ne fait pas tat des solides pratiques en matire de


communication lchelle du BSIF. notre avis, cette communication est
lingrdient principal de lintgration de la gestion des risques au travail
quotidien et la planification intgre du BSIF.
La fonction dcisionnelle de la GRE du BSIF rend des comptes au surintendant
et la haute direction. Les risques font lobjet de rapports informels et formels
la haute direction et le Comit de vrification a droit des sances dinformation
trimestrielles sur les enjeux lis aux risques influant sur les oprations du BSIF.
Le coordonnateur de la GRE rencontre les gestionnaires des secteurs pour
passer en revue lvaluation de leurs risques (registres des risques) et recenser
les sources de proccupation / de risque afin de les soulever dans le cadre des
sances dinformation trimestrielles.
Le BSIF tient les employs au courant des principaux facteurs de risque au
moyen de sa Priorit long terme et de lInfo-capsule de la surintendante.
Le Comit dexamen des risques nouveaux et la Division de la recherche
cernent et tudient les facteurs de risque externes et les nouveaux facteurs de
risque quant leurs ventuelles rpercussions sur les institutions financires et
la ncessit de rviser les plans de travail et les ressources des oprations.
Linformation sert renseigner la haute direction et les gestionnaires des
secteurs au sujet des ventuelles rpercussions sur les institutions financires et
les oprations du BSIF et renseigner aussi le personnel affect aux oprations.
LAnnexe 2, Processus dvaluation des risques, signale les principaux points de
communication dans le cadre de lactuel processus dvaluation des risques.
Daprs la nature de linformation sur les risques, recueillie tant lextrieur
qu linterne, et limportance de faire preuve de jugement pour valuer
lincidence des risques dans latteinte des objectifs oprationnels, une
communication robuste est essentielle.
Aprs en avoir discut avec les personnes charges dvaluer les risques et den
rendre compte et avoir examin les registres des risques et le Sommaire de la
GRE, nous estimons que la haute direction et les gestionnaires participent
beaucoup la communication des risques lchelle du BSIF.
Suite la page suivante

Rapport de vrification sur la GRE

Page 11 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations, suite


5.1
Politique sur la
gestion du risque
dentreprise au
BSIF et Cadre de
gestion du risque
dentreprise au
BSIF (suite)

Les liens et responsabilits des responsables de la planification intgre et


les valuations des risques et les activits permanentes des secteurs ne sont
pas intgrs au Cadre de gestion du risque dentreprise au BSIF.
Les principales composantes dune gestion exhaustive des risques au BSIF,
Annexe 1, Structures et interactions de la GRE, sont dfinies dans la Politique
sur la GRE, le Cadre de GRE et le Cadre de planification intgre.
Le Cadre de GRE prconise lexamen annuel approfondi des risques des
secteurs et, sil y a lieu, des sous-secteurs dactivit des fins de planification et
lexamen et la mise jour trimestriels des registres des risques. Pour que la
gestion des risques soit considre et applique comme un outil de gestion
intgre, il faudrait intgrer la Politique sur la GRE et au Cadre de GRE les
liens entre la planification intgre et les valuations des risques des secteurs.
Au moyen de son analyse des forces, faiblesses, possibilits et menaces (FFPM)
au chapitre de la planification intgre, de ses sances de planification sans
frontires et de la surveillance continue des risques externes, nouveaux et
internes, le BSIF dmontre un engagement rigoureux lgard de la gestion.

Recommandation : Toutes les composantes des pratiques de gestion des risques du


BSIF devraient tre intgres la Politique sur la GRE et au Cadre de GRE et ces
documents devraient tre priodiquement examins et mis jour pour garantir quils
demeurent pertinents.

5.2
Cadre de
contrle interne
et
documentation
sur les contrles

Observation : Il ny a pas de cadre de contrle interne structur et exhaustif. La


faon dvaluer les contrles est informelle et incohrente et elle nest
pas toujours transparente.
Le Cadre de GRE nonce la ncessit de considrer des contrles internes pour valuer
les risques et dterminer les stratgies dattnuation / les contrles ncessaires. On
sattend ce que les gestionnaires examinent et valuent sans cesse leurs risques et
contrles. Cet exercice informel est utile, mais il nest pas assez robuste pour garantir
que les contrles internes en place sont suffisants afin dquilibrer le risque et la
tolrance au risque et que les contrles sont appliqus comme prvu.
tant donn quil ny a pas un cadre de contrle interne de base, il est difficile de
dterminer si toutes les composantes du contrle interne contrles de la structure
dcisionnelle, de la gestion des risques et des processus ont t prises en compte dans
lvaluation du contrle interne et si les contrles sont dtermins et valus de manire
uniforme. Les risques sont-ils sur-contrls ou sous-contrls?
Un cadre de contrle interne structur et exhaustif permettrait au BSIF dassurer
luniformit ainsi que lutilisation et la comprhension communes des contrles internes,
de concilier efficacit des contrles et effort requis, dviter des activits de contrle
excessif / insuffisant et de faciliter la reddition de comptes sur les risques et les contrles.
Nous avons constat, bien des reprises, que des activits qui ntaient pas des
mcanismes de contrle figuraient dans les registres des risques titre de contrles et
que les contrles en vigueur ntaient pas indiqus dans les registres des risques.
Recommandation : Il faudrait mettre au point un cadre et des consignes de contrle
interne officiels et les intgrer la GRE. Entre temps, il faudrait documenter et valuer
les contrles dans les registres des risques.
Suite la page suivante

Rapport de vrification sur la GRE

Page 12 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations, suite


5.3
Risque rsiduel
et tolrance au
risque

Observation : Le risque rsiduel nest pas vident puisquil est combin la


tolrance au risque ; il est donc difficile de le comprendre et cela ne
facilite pas la prise de dcisions concernant les risques.
lheure actuelle, aux fins dvaluer les risques, on combine le risque, les contrles et
la propension prendre des risques afin de dterminer la cote de tolrance au risque
des secteurs / sous-secteurs dactivit. Le risque est-il potentiellement sous-contrl,
surveiller, acceptable ou potentiellement sur-contrl?
Le processus ne permet donc pas dvaluer lexposition au risque (risque moins
contrles) ou le risque rsiduel. Il est donc difficile de savoir quoi correspond
lexposition au risque et si elle est acceptable ou non.
Il importe de sparer le risque rsiduel de la tolrance au risque, afin que le processus
dvaluation fournisse un point de dcision sur le risque (se reporter lAnnexe 2 :
Processus dvaluation des risques). Dans lvaluation des risques, un point de dcision
sur le risque est essentiel pour intgrer la gestion des risques aux oprations
quotidiennes. Devrions-nous accepter le risque (lexposition au risque est en quilibre
avec la propension prendre des risques) ou faudrait-il prendre des mesures
dattnuation? Le secteur / sous-secteur dactivit est-il potentiellement sous-contrl ou
sur-contrl? Faudrait-il rviser les plans et ressources des oprations pour que le risque
continue de cadrer avec la tolrance au risque ?
Nous avons remarqu que prs de la moiti des risques dclars dans les registres des
risques des secteurs et des secteurs dactivit sont cots surveiller, cest--dire quil
faudrait peut-tre renforcer les contrles actuellement en place en fonction du niveau
actuel de lexposition au risque; toutefois, tant donn que le risque rsiduel nest pas
transparent, il est difficile de dterminer lexposition et la tolrance gnrales que le
BSIF accepte. La manire dont les risques cots potentiellement sous-contrls
lchelle des divisions ont t regroups en une cote sappliquant lensemble du BSIF
ntait pas toujours vidente.
Recommandation : Dans le processus dvaluation des risques, il faudrait sparer le
risque rsiduel et la tolrance au risque et intgrer un point de dcision sur le risque.

5.4
Qualit des
registres des
risques

Observation : Il faut rehausser la qualit et la cohrence des registres des risques,


un outil cl de la GRE, pour garantir que la pertinence de la gestion
des risques et lharmonisation avec la tolrance au risque du BSIF
sont bien comprises. Dans lensemble, les registres des risques et la
mise jour trimestrielle ne sont pas considrs comme un outil de
gestion, mais plutt comme un exercice de conformit.
Les secteurs du BSIF, pauls par les coordonnateurs de la GRE tiennent jour sur une
base trimestrielle les registres des risques lchelle des secteurs dactivit des secteurs
et, parfois, des divisions et des sous-secteurs dactivit. Les registres visent grer les
activits dattnuation et lies aux risques; ils apportent de linformation cl aux fins du
processus annuel de planification des activits et dtablissement des priorits des
secteurs et des divisions. Les coordonnateurs de la GRE prsentent aux gestionnaires de
leur secteur respectif les principales proccupations / principaux enjeux lis aux risques
et les mesures dattnuation proposes.
Daprs les discussions avec les personnes charges de mettre jour et dexaminer les
registres et den rendre compte et de notre tude des registres, nous avons constat que
la prparation des registres prenait beaucoup de temps et tait souvent considre comme
un exercice de conformit ou un double emploi dautres activits oprationnelles
quotidiennes.
Suite la page suivante

Rapport de vrification sur la GRE

Page 13 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations, suite


5.4
Qualit des
registres des
risques (suite)

Nous avons relev des incohrences dans linterprtation du Cadre et dans ce quil faut
inscrire dans les registres, do de la difficult regrouper et comprendre les rsultats
lchelle du BSIF. Il tait parfois ardu de comprendre les enjeux sous-jacents lis aux
risques, les contrles existants et les consquences du risque dans latteinte des objectifs
des activits et du BSIF.
Nous avons remarqu que le Cadre de GRE ntait pas appliqu de manire uniforme
aux fins de la prparation des registres des risques. En particulier,
les valuations des risques inhrents du mme risque variaient dun secteur lautre,
les critres aux fins de lvaluation de la tolrance au risque ntaient pas toujours les
mmes,
des lments se retrouvaient dans certains registres des risques et dans dautres, pas,
par exemple
contrles,
calendrier des mesures,
risques attnus et dans dautres, seulement des risques devant tre attnus,
activits dattnuation des risques acceptables.
Des activits dattnuation des risques acceptables laissent entendre que le risque est
potentiellement sur-contrl.
Les registres des risques ne dmontrent pas clairement les rpercussions dun
risque sur les objectifs oprationnels et le mandat du BSIF.
En examinant des registres des risques reprsentatifs, nous avons observ que le lien
entre les rpercussions du risque et la tolrance au risque et lobjectif (les objectifs) des
secteurs / sous-secteurs dactivit nest pas toujours clairement tabli. Mme si les
rpercussions dun risque sont cotes, il est difficile dvaluer la gravit du risque, ses
rpercussions sur les oprations et le niveau de contrle ncessaire ainsi que lincidence
du risque sur la capacit du BSIF de sacquitter de son mandat et de raliser ses priorits
long terme.
Compte tenu que les valuations des contrles laissent dsirer, il est difficile de
dterminer si les risques sont grs de manire adquate. Le risque et le contrle sont-ils
en quilibre (le risque rsiduel est infrieur ou gal la tolrance au risque du
secteur / sous-secteur dactivit) ou le risque est-il sur-contrl ou sous-contrl?
Daprs lexamen des registres de notre fonction de VI, nous avons constat que le lien
entre le risque pour les objectifs du BSIF et la cote de tolrance au risque attribue tait
parfois vident et dans dautres cas, il ne ltait pas.
Les mesures dattnuation sont gres de manire informelle et ne sont pas bien
documentes dans les registres des risques.
Il ny a pas de processus officiel pour surveiller et suivre la mise en uvre des mesures
visant attnuer les risques et en rendre compte. Dans notre examen des registres des
risques, nous avons observ ce qui suit.
Les contrles existants ne sont pas toujours pris en compte.
Les mesures acheves ne sont pas toujours ajoutes comme contrle.
Les mesures dattnuation ne sont pas lies aux plans daction des activits et
des oprations.
Des mesures classes mesures dattnuation sont des mesures usuelles.
Ltat davancement et le calendrier des mesures dattnuation ne sont pas
toujours indiqus dans les registres des risques.
Suite la page suivante

Rapport de vrification sur la GRE

Page 14 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations, suite


5.4
Qualit des
registres des
risques (suite)

Recommandation : 1) Le Cadre de GRE devrait tre appliqu de manire uniforme aux


fins de la prparation des registres des risques afin que les risques soient compris et
regroups de la mme faon dans tout le BSIF. Il faudrait prciser les instructions
relatives aux registres des risques des secteurs et amliorer la grille pour favoriser une
approche commune. 2) Il faudrait officiellement intgrer les registres des risques aux
rapports sur les oprations de gestion. 3) Le coordonnateur de la GRE devrait superviser
la qualit des registres des risques.

5.5

Observation : La direction ne reoit pas suffisamment dinformation sur les risques


pour exercer une surveillance adquet.

Supervision de
la direction

Le principal outil de gestion des risques, ce sont les registres des risques des
secteurs / sous-secteurs dactivit dans lesquels les principaux risques et les valuations
des risques sont documents et noncent linformation sur les risques : les rpercussions
du risque, le risque inhrent sous-jacent, les contrles internes existants, lorientation du
risque et la tolrance au risque. Sil y a lieu, les mesures dattnuation pertinentes sont
nonces aux fins dexamen et dapprobation par la direction sur une base trimestrielle.
Ces registres sont utiliss pour prparer un sommaire de la GRE lintention de la haute
direction et du Comit de vrification.
En fonction des discussions avec les coordonnateurs sectoriels des risques, les registres
sont examins par les dirigeants des secteurs et mis jour sur une base trimestrielle; ils
font lobjet dun examen approfondi informel aux fins de lexercice annuel de
planification. Les registres sectoriels sont pris en compte dans la prparation du
sommaire narratif de la GRE lintention de la haute direction.
Linformation sur les valuations des risques nest toutefois pas synthtise dans les
profils de risque de lorganisation selon les principaux risques et les
secteurs / sous-secteurs dactivit, lchelle des secteurs et du BSIF, pour donner un
aperu des risques dans lensemble du BSIF lintention des gestionnaires.
Il faut regrouper linformation sur les risques et les valuations des risques des
secteurs / sous-secteurs dactivit, des secteurs et de lorganisation pour fournir une
vision globale ou un tableau de bord des risques. Quels sont les risques urgents? Dans
quels secteurs / sous-secteurs dactivit les risques urgents se retrouvent-ils? Ces visions
des risques sont-elles conformes la vision descendante de la direction? Y a t-il une
concentration de risques dans un sous-secteur dactivit en particulier? Y a-t-il des
risques communs qui devraient tre grs en collaboration?
Un aperu lintention de la direction comporterait de linformation sur les risques, par
exemple, le risque inhrent, les contrles, lexposition au risque et la propension
prendre des risques, lorientation du risque et la dcision prise lgard du risque
(accepter le risque ou prendre une mesure dattnuation). Un tableau de bord des risques
indiquerait les risques levs et toute concentration des risques et lendroit o ils le sont.
Dans la mme veine que le tableau de bord des risques nouveaux, les tableaux de bord
des risques donneraient de linformation sur les rpercussions du risque sur le BSIF et
ltat davancement des mesures dattnuation prises. Il serait ainsi possible de prsenter
un tableau de haut niveau de la condition du risque et des mesures dattnuation prises
dans les secteurs / sous-secteurs dactivit et les secteurs, do un profil des risques du
BSIF davantage transparent.
Recommandation : Il faudrait amliorer les rapports sur les risques pour y intgrer
progressivement un rapport global sur les valuations des risques levs et la
concentration des risques aux chelles des secteurs / sous-secteurs dactivit, des secteurs
et de lorganisation.
Suite la page suivante

Rapport de vrification sur la GRE

Page 15 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

5. Observations et recommandations, suite


5.6
Grer
linformation
sur les risques

Observation : Il est difficile et fastidieux de grer linformation et les rapports sur


les risques
On estime qu lheure actuelle, quelque 200 lments de risque et prs de 500 mesures
dattnuation sont grs et dclars dans les registres des risques. Ces volumes avec une
surveillance et des rapports amliors et avec ladoption dune structure de contrle
interne laissent entendre quil faut mettre au point un systme de GRE automatis et
intgr permettant de mieux enregistrer linformation sur les risques, de mieux la
surveiller et de mieux en rendre compte aux chelles des secteurs / sous-secteurs
dactivit, des secteurs et de lorganisation.
Il est tout aussi important davoir un systme de GRE intgr permettant de saisir
linformation sur les contrles internes et les risques et les valuations des risques et dy
avoir accs, de suivre les mesures dattnuation et de rendre compte de la gestion des
risques dans lensemble de lorganisation. Les efforts ne seront plus dploys pour
accomplir des tches administratives et de maintenance, mais bien pour grer les risques,
prendre des dcisions lgard des risques et rendre compte aux chelles des oprations
et de la direction.
Le systme de GRE sappuierait sur les inventaires adapts des risques et des contrles
internes du BSIF; il permettrait de mettre en application la mthodologie et le processus
de GRE du BSIF, de tenir jour des valuations des risques approfondies plusieurs
niveaux (organisation, secteur et sous-secteur dactivit) et doffrir diverses capacits de
produire des rapports sur la gestion des risques.
Nous encourageons le BSIF tudier les avantages que reprsente lacquisition dun
systme de GRE intgr. Pour faire un peu partie de la Stratgie sur la GI / TI, on
pourrait acqurir un systme Web offrant lavantage dun systme de GRE spcialiss
avec soutien technique et au plan de la gestion des risques qui pourrait tre interne une
date ultrieure.
Recommandation : Le BSIF devrait tenir compte des avantages que reprsente
lacquisition dun systme de GRE intgr pour appuyer la gestion des risques dans
lensemble de lorganisation.

5.7
Capacit de
gestion des
risques et
comptences en
gestion des
risques

Observation : Raffermir la capacit de gestion des risques et renforcer les


comptences en gestion des risques lchelle du BSIF
Pour raffermir la mthodologie, les processus et les outils de gestion des risques, il
faudra offrir une formation spcifique en gestion des risques aux personnes responsables
des valuations des risques et celles qui y participent ainsi quaux coordonnateurs des
risques.
Compte tenu des amliorations apportes la gestion des risques, il importe que le BSIF
dfinisse les comptences et capacits ncessaires pour mettre en uvre et tenir jour la
gestion des risques et les calendriers connexes dans lensemble de lorganisation.
Compte tenu des efforts qui devraient tre dploys pour apporter les amliorations la
gestion des risques et offrir la formation connexe, il faudra, notre avis, affecter des
ressources pour diriger la gestion des risques et mettre en uvre les amliorations la
GRE.
Recommandation : Il faudrait dfinir les comptences et capacits ncessaires pour
mettre en uvre une fonction de gestion des risques lchelle du BSIF et la tenir jour.
Suite la page suivante

Rapport de vrification sur la GRE

Page 16 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

VI

Annexe A Critres de contrle de la GRE


lment
Gestion des
risques

Composantes

Structure
dcisionnelle
Contexte
oprationnel

Dfinition des
objectifs

Information et
communication

Les risques externes et internes lis la fonction de GRE du BSIF sont


cerns et valus et des mesures / contrles dattnuation sont mis en place,
conformment la Politique sur la GRE
Il y a une structure permettant de grer et de suivre les risques / enjeux en ce
qui a trait lintgralit, la rigueur et la nature courante de la fonction de
GRE
La haute direction a communiqu son opinion et ses dcisions relativement
aux risques, aux contrles internes et la tolrance au risque

La GRE tient compte des valeurs du BSIF et de sa dtermination intgrer


la gestion des risques la planification et aux oprations des activits et de
lorganisation
Les obligations redditionnelles, les responsabilits, le processus dcisionnel
et les rapports au sujet de la gestion des risques aux chelles du Comit de
vrification, de la haute direction, de lorganisation et des activits, les
mesures de suivi, le signalement des problmes lis aux risques aux chelons
suprieurs et les dcisions et les rapports sur les risques sont dfinis et
communiqus aux dirigeants et aux employs
Les ressources aux fins de la GRE et des secteurs sont prvues,
conformment au profil de risque du BSIF et ses plan et priorits
Les comptences notamment techniques, y compris la formation officielle et
officieuse ncessaire pour maintenir les niveaux des connaissances et
lexpertise requise sont nonces
La politique, les objectifs, les plans, les cadres des risques et des contrles et
la mthodologie relative aux risques (descendante, ascendante) en matire de
GRE :
sont dfinis et communiqus aux dirigeants et aux employs;
sont conformes aux objectifs (et au plan et aux priorits) du BSIF et les
appuient;
cadrent avec les rapports sur le rendement du BSIF;
respectent les politiques, directives, normes et consignes du gouvernement
Des pratiques en matire de gestion des risques et de tolrance (qualitative et
quantitative) au risque ont t tablies aux chelles des secteurs /
sous-secteurs dactivits, des secteurs et de lorganisation
Les exigences en matire dinformation sur les risques et les contrles
internes, y compris les structures des risques et des contrles internes, le
risque inhrent (impact et probabilit), le risque rsiduel et la tolrance au
risque sont dfinies et intgres aux pratiques et rapports en matire de
gestion des risques
Les rapports sur la gestion des risques sont tablis et communiqus aux
dirigeants et aux employs, sil y a lieu, notamment lanalyse FFPM, les
valuations des risques (registres) des secteurs et des secteurs / sous-secteurs
dactivits, les risques nouveaux, le sommaire sur les risques (tableau de
bord) et son intgration des documents cls comme la Priorit long terme,
les Plans et priorits et le Rapport annuel

Rapport de vrification sur la GRE

Page 17 de 20

Bureau du surintendant des institutions financires Canada


VI

Vrification interne

lment

Composantes

Surveillance et
rapports de
gestion

VI

Il y a des voies de communication ouvertes et en temps opportun entre les


gestionnaires et les employs.
Pour voir ce que les exigences relatives aux risques et aux contrles
soient communiques.
Pour garantir que les communications sur la gestion des risques et les
dcisions prises lgard des risques sont jour et cohrentes
Une mmoire dentreprise est intgre aux processus de GRE et elle est tenue
jour grce linformation portant sur les valuations des risques et les
dcisions prises lgard des risques
Il y a un processus damlioration continue de la GRE pour surveiller ce qui
suit et en rendre compte.
Ralisation des objectifs en matire de GRE.
Respect de la politique, des processus et des pratiques en matire de
gestion des risques.
Suffisance des ressources de GRE pour appuyer la gestion des risques.
Des pratiques et outils en matire de rapports de gestion sont instaurs, par
exemple, analyse des risques (impact, probabilit et distribution des risques)
et rapports sur les risques portant notamment sur les objectifs oprationnels
risque, les considrations relatives la compensation et au processus
dcisionnel concernant les risques et mesures de contrle / dattnuation avec
chanciers cibles

Processus de
contrle
Processus et
activits de
contrle

Il y a un processus de supervision de la gestion de la fonction de GRE.


Il y a des processus qui dfinissent ce qui suit.
Les exigences relatives aux procdures et aux activits pour :
Cerner les risques nouveaux et en analyser la pertinence pour le BSIF et
la gestion des risques
Aider les secteurs effectuer sans cesse des valuations des risques et
des contrles
Cerner, valuer et mesurer la probabilit et limpact, prioriser, prendre
des dcisions lgard des risques, surveiller et rendre compte des
risques et des pratiques de contrle / dattnuation connexes
La concordance entre le risque rsiduel et la tolrance au risque
respective (got du risque).
Le processus dintgration de linformation sur les risques nouveaux et la
planification et des activits permettant de cerner les risques nouveaux des
secteurs et de lorganisation la gestion des risques globale du BSIF
Les chanciers (calendrier) et les produits livrables
Des plans de sauvegarde et de continuit de linformation sur la GRE, des
instruments / outils lappui et le personnel ncessaire sont en place

Rapport de vrification sur la GRE

Page 18 de 20

Bureau du surintendant des institutions financires Canada


IA

Vritication interne

IA
PROTG B

Annexe 1 : Structures et interactions de la GRE

Audit Report on: ERM

Page 19 of 20

Bureau du surintendant des institutions financires Canada


IA

Vritication interne

IA
PROTG B

Annexe 2 : Processus dvaluation des risques


Secteur / Secteur / Sous-secteurs dactivit Rsum du plan dactivits (Priorits) et oprations permanentes

Processus
dvaluation
des risques

COMMENCER ICI> Communication et intgration (1)


Consignes sur les risques
Rpertoire des risques
(structure/dfinition)

Impact

(BSIF, secteur, secteur / sous-secteur dactivit


dsign et conformit (rgles / normes)

Consignes sur les contrles du BSIF

Secteur / secteur / soussecteur dactivit


valuation des risques et
des contrles

Registre des risques

Communications (2)

(BSIF, secteur, secteurs / sous-secteurs dactivit

BSIF, secteur, secteurs / sous-secteurs dactivit


Tolrance au risque / Impact

Communication (3)

Pratiques existantes de
gouvernance, de gestion
des risques et de
contrle

Enjeu spcifique li
aux risques

Outils
habilitants

Tolrance au risque

Structure / Dfinition
Gouvernance; composantes de la
gestion et du contrle des risques
Cadre de contrle
Secteur / Secteur /sous-secteur
dactivit ainsi quadapt

Renseignements aux fins de


lvaluation des risques et des
contrles

Secteur / Secteur /
sous-secteur dactivit

Sances
dinformation
/ Rapports

Secteur / Secteur
dactivit
Risque rsiduel et
profil dvaluation
des risques
individuels

Dcision sur
les risques

Accepter le
risque ou
mesures
dattnuation

Surveillance,
suivi, rglement

Mise jour des pratiques existantes

Mise jour de la liste des risques

Communications (5)

Vision
(FFPM, sances de planification sans
frontires))

Rsums des plans dactivits

quilibrer les
risques

Planification intgre
Risque externes /
internes

(Tableau densemble BSIF, secteur et secteur /


sous-secteur dactivit

Registre des risques

Plan et priorits stratgiques du BSIF


Communications (4)

Comit de vrification
Sances dinformation sur la GRC

Audit Report on: ERM

Sommaire de la GRG
Sances dinformation de la haute
direction

Page 20 of 20

Principaux risques externes


/ internes

Vous aimerez peut-être aussi