Avis Perspectives en assurance Numéro 7 : Février 2017 Ligne directrice E-21 du BSIF : Gestion du risque opérationnel (GRO) : Serez-vous conforme d’ici juin 2017? Contexte En juin 2016, le BSIF publiait la Ligne directrice GRO E-21 (E-21) qui rend compte de ses attentes en matière de saine gestion du risque opérationnel. Cette ligne directrice vise toutes les institutions financières fédérales (IFF), dont les assureurs (BSIF, 2017). Ainsi, E-21 est une méthode fondée sur des principes pour aider assureurs et autres institutions financières à reconnaître, évaluer et gérer le risque opérationnel : – Voir comment vous pouvez vous servir de votre cadre actuel pour répondre aux nouvelles exigences. Obstacles potentiels à la mise en œuvre Principe 1 – Cadre – Intégration de la GRO au cadre global de gestion des risques – Étendue du risque opérationnel, qui peut comporter de nombreuses sous-catégories de risque – Ampleur de l’impact sur les finances et la réputation – Principe 1 : La GRO devrait être bien consignée et entièrement intégrée au programme global de gestion des risques. – Difficulté à quantifier le risque opérationnel – Principe 2 : La GRO devrait soutenir la structure globale de gouvernance et se fonder sur une déclaration de propension à prendre des risques. Principe 2 – Gouvernance – Production d’une déclaration quantitative et qualitative de la propension à prendre des risques – Principe 3 : Une structure fiable, tel que le modèle « à trois lignes de défense » permet de séparer les diverses composantes de la GRO et d’en faire un examen indépendant et une analyse critique. – Tolérance zéro n’est pas réaliste – Principe 4 : Une IFF devrait se servir d’outils de GRO pour déterminer et évaluer le risque opérationnel, ainsi que pour réunir des informations pertinentes sur le sujet et les communiquer efficacement. Les assureurs doivent repenser leurs méthodes d’évaluation du risque opérationnel. Selon l’expérience d’autres institutions financières qui ont mis en œuvre des politiques de GRO au cours de la dernière décennie, de nombreux assureurs ont encore du chemin à faire pour se conformer à ces principes. Pour réduire les coûts de mise en œuvre d’E-21, pourquoi ne pas utiliser les pratiques actuelles de l’organisation et celles d’autres institutions financières? Ce que vous devez faire dès maintenant – Évaluer les obstacles à la mise en œuvre d’E-21. – Déterminer l’incidence d’E-21 sur les parties prenantes. – Élaborer un plan de mise en œuvre d’E-21. – Établissement d’une taxonomie cohérente du risque – Établissement des seuils de déclaration/signalement aux échelons supérieurs Principe 3 – Trois lignes de défense – Responsabilité des risques et des contrôles – Des experts techniques qui deviennent gestionnaires de risque – Flou entre la première et la deuxième ligne de défense – Place de la fonction d’actuariat dans les trois lignes de défense Principe 4 – Outils et rapports – Granularité (trop détaillé ou trop synthétisé) – Taxonomie du risque opérationnel : délimitation (sélection des risques, règlements et placements) – Motivation à signaler les problèmes et les pertes – Comment savoir si tout a été pris en compte? – Regroupement d’informations non quantitatives – Évaluation du risque de modèle © 2017 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. Impact sur les parties prenantes d’une organisation La figure 1 illustre à quel point le risque opérationnel touche tous les groupes fonctionnels d’une organisation. C’est pourquoi l’élaboration d’un cadre de GRO nécessite la participation de toutes les parties prenantes. Chaque gestionnaire de fonction doit se poser les questions suivantes : De quels risques ai-je la responsabilité? Que faire en cas de problème? 5. Modélisation du risque – Établir un plan pour moderniser les méthodes d’évaluation. 6. Rapports – Définir les IRC, en faire le suivi et en faire rapport, et les communiquer efficacement à la direction. 7. Révision – Revoir tous les composants et améliorer les processus, s’il y a lieu, la prochaine fois. Figure 2 Figure 1 Plan de mise en œuvre d’E-21 Nous vous présentons à la figure 2 un plan d’action en sept étapes pour vous aider à vous conformer à E-21 : 1. Plan – Définir la portée et les objectifs des exigences réglementaires et parvenir à un consensus. 2. Évaluation – Effectuer une analyse des écarts et établir un plan pour combler ceux qui touchent les politiques, les processus, le personnel, les données et la technologie. 3. Politique – Élaborer une politique et un cadre de gestion du risque opérationnel, une taxonomie du risque et effectuer une évaluation interne des risques et de la solvabilité (ORSA). 4. Processus – Établir des processus d’évaluation, de gestion et d’atténuation du risque opérationnel adaptés au profil de risque et aux exigences réglementaires. Exploiter les structures en place On pourrait croire que la mise en œuvre d’E-21 nécessite la création de nouveaux processus, alors que le cadre de gestion du risque en place peut parfaitement faire l’affaire. N’hésitez pas à utiliser les outils existants : ORSA, GRE et politiques de fonds propres. Sensibilisez tous les niveaux de l’organisation au risque opérationnel. Demandez-vous comment les assureurs et les institutions financières gèrent le risque opérationnel. Pensez à instaurer une culture axée sur le risque. En n’utilisant pas les outils en place, vous risquez de faire grimper les coûts et d’alourdir le fardeau des différentes parties prenantes. KPMG peut vous être utile. Pour en savoir plus, communiquez avec l’une des personnes ci-dessous ou avec votre représentant KPMG habituel. Communiquez avec nous Stephen Smith Associé Audit, Modifications comptables 416-777-3194 [email protected] Mary Trussell Associée Leader nationale, Assurance 647-777-5428 [email protected] Alexander Shipilov Associé Gestion des risques financiers 416-777-3026 [email protected] © 2017 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. 15904 KPMG et le logo de KPMG sont des marques déposées ou des marques de commerce de KPMG International. Derek Koenig Directeur principal Services financiers 647-777-5483 [email protected] kpmg.ca/fr