Le Bureau du surintendant des institutions financières (BSIF) du Canada est le dernier d’une longue liste d’organes directeurs à publier de nouvelles exigences en matière de résilience opérationnelle.

La ligne directrice E-21 a été publiée le 22 août 2024, et le BSIF s’attend à ce que les institutions financières sous réglementation fédérale y adhèrent entièrement d’ici le 1er septembre 2026. Les IFF comprennent les banques et les compagnies d’assurance canadiennes, ainsi que leurs homologues étrangers exerçant des activités au Canada.

Comme d’autres réglementations sur la résilience opérationnelle, l’objectif est d’aider les institutions financières à améliorer leur capacité à prévenir, détecter, répondre et se remettre d’événements défavorables, tout en continuant à assurer les opérations essentielles. La version du BSIF combine des éléments de la gestion des risques d’entreprise et de la continuité des activités afin de renforcer la résilience de manière globale.

Bien que les lignes directrices introduisent de nouvelles exigences, elles s’appuient largement sur les pratiques existantes. Pour vous y conformer pleinement, vous devrez collaborer avec les équipes chargées des risques et de la résilience afin d’établir un cadre clair de gestion des risques opérationnels.

La bonne nouvelle, c’est que la plupart des organisations devraient déjà disposer des pièces de base de ce puzzle. Commencez par là, puis utilisez les lignes directrices comme un cadre structuré pour améliorer et valider la résilience.
Ligne directrice E-21 du BSIF - Quatre piliers

Les quatre piliers de la ligne directrice E-21 du BSIF

La ligne directrice E-21 définit les attentes en matière de risque opérationnel et de résilience dans quatre domaines principaux :

La gouvernance. La ligne directrice indique que la direction générale devrait être responsable de l’élaboration, de la mise en œuvre et de la supervision d’un cadre efficace de gestion du risque opérationnel et d’une approche de la résilience, en veillant à ce que les responsabilités soient clairement établies, que les ressources soient suffisantes et que la culture du risque soit solidement ancrée. Les fonctions opérationnelles et centrales doivent gérer les risques opérationnels et faire remonter les problèmes de manière appropriée. Des lignes directrices supplémentaires sont incluses pour les fonctions de contrôle indépendant et d’audit interne.

Gestion du risque opérationnel. Les entreprises doivent disposer d’un cadre efficace de gestion du risque opérationnel, comprenant une appétence pour le risque, des politiques, des outils de suivi et des méthodes d’évaluation pour gérer les risques liés aux personnes, aux processus, aux systèmes et aux événements extérieurs. Des examens, un suivi et des rapports réguliers doivent être mis en place, de même qu’une procédure d’escalade permettant d’informer la direction générale et le conseil d’administration en cas de problèmes importants.

Résilience opérationnelle. Les entreprises doivent identifier et cartographier les opérations critiques, évaluer les dépendances et s’assurer qu’elles peuvent résister à des perturbations graves mais plausibles dans les limites de tolérance fixées. Des tests de scénario réguliers, comprenant des simulations et une coordination avec des tiers, doivent être mis en place pour affiner les stratégies de résilience et améliorer la capacité à gérer efficacement les crises.

Domaines clés de la gestion du risque opérationnel qui renforcent la résilience opérationnelle. Pour soutenir la résilience opérationnelle, les entreprises doivent également se conformer aux attentes définies pour d’autres disciplines de gestion des risques, notamment la continuité des activités, la reprise après sinistre, la gestion de crise, la gestion du changement, le risque technologique et cybernétique, le risque lié aux tiers et le risque lié aux données.
Se préparer à la ligne directrice E-21 du BSIF

Comment se préparer à la ligne directrice E-21 du BSIF

Voici cinq étapes pour vous aider à répondre à ces exigences :

1. Mettre en place un comité interdisciplinaire. La ligne directrice E-21 met l’accent sur le fait que diverses disciplines liées au risque sont nécessaires pour renforcer la résilience. Commencez par nommer un responsable organisationnel qui dirigera un comité de conformité et sera le fer de lance de la communication entre les équipes de GRC, d’informatique et de continuité des activités.

2. Effectuez une analyse des lacunes. Faites le point sur vos programmes de risque actuels en examinant les politiques et procédures de vos programmes de risque opérationnel, de continuité des activités, de reprise après sinistre, de risque pour les tiers, de risque technologique, de gestion de crise et de gouvernance des données par rapport aux nouvelles exigences. Analysez les exigences qui sont déjà satisfaites et celles qui doivent être développées, puis élaborez un plan d’action clair en utilisant la ligne directrice E-21 comme validation.

3. Renforcer la gouvernance et la surveillance des risques. Définissez clairement les rôles, les responsabilités et l’obligation de rendre des comptes au sein de la direction générale, des unités opérationnelles et des fonctions de gestion des risques. Proposez des formations, améliorez les rapports sur les risques pour plus de clarté et permettez aux fonctions de contrôle de remettre en question les pratiques et de garantir le respect de l’appétit pour le risque et des seuils de tolérance que vous avez définis.

4. Cartographier et évaluer les opérations critiques. Identifiez les opérations critiques – également connues sous le nom de services commerciaux importants – et leurs dépendances (internes et externes), identifiez les vulnérabilités et établissez des seuils de tolérance en cas d’interruption. Vous devez régulièrement revoir et mettre à jour ces évaluations avec l’aide de la direction afin de les adapter à l’évolution des risques et des priorités de l’entreprise.

5. Élaborer et tester des cadres de résilience. Établir ou améliorer les cadres de résilience opérationnelle pour soutenir la continuité de vos opérations critiques et intégrer la continuité des activités, la reprise après sinistre et la gestion de crise. Effectuez des tests de scénario et des exercices de plan de continuité des activités pour prouver l’efficacité de votre préparation en cas de perturbations graves mais plausibles.

À l’approche de l’échéance de septembre 2026, le moment est venu pour vous d’évaluer vos capacités et d’affiner vos stratégies. Une approche solide et bien intégrée de la résilience opérationnelle vous aidera non seulement à répondre aux attentes réglementaires, mais aussi à sauvegarder vos opérations, à protéger les parties prenantes et à renforcer votre stabilité à long terme.

Pour obtenir les dernières informations sur les législations nouvelles et existantes en matière de résilience opérationnelle, téléchargez notre livre blanc, Résilience opérationnelle : Naviguer dans le paysage réglementaire mondial, et consultez les services de conseil de Riskonnect en matière de continuité et de résilience des activités pour obtenir un soutien en matière de conformité.