4e réunion du groupe de travail sur la sécurité – Le 15 septembre 2022
Le présent guide de discussion est fourni pour aider les membres du groupe de travail sur la sécurité à se préparer à la quatrième réunion qui s’appuie sur les principaux risques discutés lors des réunions précédentes.
Pour toute question ou commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Risque opérationnel
Le risque opérationnel est généralement compris comme le risque de perte résultant de processus internes inadéquats ou défaillants, d’actes posés par des personnes et de systèmes ou d’événements externesNote de bas de page 1. Cela inclut le risque juridique, mais exclut le risque stratégique et le risque de réputation.
Le risque opérationnel est inhérent à tous les produits, activités, processus et systèmes financiers. Bien que les organisations soient les mieux placées pour déterminer les causes des risques opérationnels, les types de risques les plus courants sont les suivants :
- Fraude (par exemple, fraude interne et externe)
- Pratiques d’emploi et sécurité au travail
- Clients, produits et pratiques commerciales (par exemple, pratiques de vente et conduite interne)
- Dommages aux biens matériels
- Continuité et résilience des activités
- Risque juridique
- Risque lié aux tiers
- Développement de produits
- Gestion du changement
- Qualité des données
- Gestion des incidents
Veuillez noter que cette liste n’est pas exhaustive et varie selon l’institution, selon les variables comme la taille, la complexité et le profil de risque des activités entreprises.
Le Comité consultatif sur le système bancaire ouvert a noté que le risque opérationnel était un domaine clé à examiner dans l’élaboration d’un système bancaire ouvert. Il s’agit là d’un élément essentiel, car les consommateurs doivent avoir confiance dans le fait que le système est conçu avec des mesures de sûreté et de sécurité à tous les niveaux afin que le système soit un succès.
La gestion des risques opérationnels est abordée dans les règlements et lignes directrices existants. Par exemple, le Bureau du surintendant des institutions financières a élaboré des lignes directrices applicables aux institutions financières sous réglementation fédérale qui énoncent les attentes relatives à la gestion du risque opérationnel. Des dispositions similaires existent au niveau provincial. Enfin, la Loi sur les activités associées aux paiements de détail impose aux fournisseurs de services de paiement des exigences en matière de gestion des risques opérationnels et de réponse aux incidents. Bien que ces dispositions puissent être mentionnées lors des discussions du groupe de travail, il est également important d’examiner leur application proportionnelle.
Discussion
- Quelles sont les exigences de gouvernance auxquelles les participants éventuels du système devraient être soumis en ce qui concerne le risque opérationnel? Par exemple, le modèle des trois lignes de défense (le secteur d'activité est responsable de la gestion de risques, l’examen indépendant et l’analyse critique et d’audit interne du risque) est-il approprié à la gestion du risque opérationnel?
- Devrait-on laisser aux demandeurs potentiels le soin de déterminer quelles sont les causes de risque opérationnel auxquelles leurs cadres respectifs devraient s’attaquer? Par ailleurs, ces causes devraient-elles être prescrites?
- Quel risque opérationnel pourrait s’avérer être le plus grand risque dans un système bancaire ouvert?
- En l’absence d’un cadre de certification généralement reconnu, comment les participants éventuels pourraient-ils démontrer la pertinence de leur cadre de risque opérationnel?
- Quels défis peuvent être prévus dans la mise en œuvre d’un cadre de gestion des risques opérationnels et comment peut-on y répondre?
Résultats
Risque opérationnel
Discussion 1
Quelles sont les exigences de gouvernance auxquelles les participants éventuels du système devraient être soumis en ce qui concerne le risque opérationnel? Par exemple, le modèle des trois lignes de défense (le secteur d'activité est responsable de la gestion de risques, l’examen indépendant et l’analyse critique, et d’audit interne du risque) est-il approprié à la gestion du risque opérationnel?
- Les participants ont énuméré des exigences comme la surveillance et la visibilité du conseil d’administration, l’attribution de la responsabilité de la gestion des risques à un membre de l’équipe de direction, la documentation des politiques et une fonction d’audit indépendante, pour n’en nommer que quelques-unes.
- Le modèle des trois lignes de défense n’a pas fait l’objet d’un consensus : les participants ont plutôt proposé la mise en œuvre d’une séparation des tâches d’une manière qui tient compte de la proportionnalité ainsi que de la capacité et des ressources d’une organisation.
Discussion 2
Devrait-on laisser aux demandeurs potentiels le soin de déterminer quelles sont les causes de risque opérationnel auxquelles leurs cadres respectifs devraient s’attaquer? Par ailleurs, ces causes devraient-elles être prescrites?
- Alors que certains participants ont proposé une approche prescrite fondée sur les risques posés par les cas d’utilisation, d’autres ont fait savoir qu’un tel modèle serait de courte durée compte tenu de l’évolution constante des cas d’utilisation. En outre, il a été fait référence au rapport final du Comité consultatif sur un système bancaire ouvert, qui est défavorable à une approche fondée sur les cas d’utilisation.
- L’adoption d’exigences de base que pourraient proposer les participants a également été mise en avant comme une autre approche possible.
- Les participants ont également souligné la nécessité de tirer parti des lois et des directives existantes sur les risques opérationnels, notamment la Loi sur les activités associées aux paiements de détail.
Discussion 3
Quel risque opérationnel pourrait s’avérer être le plus grand risque dans un système bancaire ouvert?
- Les participants ont déterminé que la fraude interne et externe, le risque de responsabilité civile, la sécurité des données et la cybersécurité, la sensibilisation des consommateurs et les risques technologiques étaient certains des risques opérationnels susceptibles de menacer le système bancaire ouvert.
Discussion 4
En l’absence d’un cadre de certification généralement reconnu, comment les participants éventuels pourraient-ils démontrer la pertinence de leur cadre de risque opérationnel?
- Parmi les options proposées par les participants figuraient l’assurance indépendante d’un tiers ainsi qu’une autoévaluation périodique attestée par la haute direction.
- Les participants ont également souligné l’importance des lignes directrices pour soutenir les autoévaluations ainsi que des sanctions en cas de conduite inappropriée.
Discussion 5
Quels défis peuvent être prévus dans la mise en œuvre d’un cadre de gestion des risques opérationnels et comment peut-on y répondre?
- Les participants ont souligné qu’il fallait tenir compte de la taille et des ressources d’une organisation, de sa maturité et de l’adéquation des contrôles mis en place, et qu’il fallait garantir une bonne surveillance des risques.
- Ils ont également proposé de définir des exigences évolutives fondées sur l’atteinte de certains jalons par l’organisation, comme la taille, le nombre d’employés et le volume d’appels d’API.
Participants du groupe de travail sur la sécurité
Membres
- Affinity Credit Union
- Alterna Savings and Credit Union Limited
- ATB Financial
- Banque Canadienne Impériale de Commerce
- Clearco
- Equitable Bank
- Flinks
- nanopay
- PayBright
- Questrade
- Banque Royale du Canada
- TD Canada Trust
Invités externes
- Credit Union Deposit Guarantee Corporation of Alberta
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :