Notes d allocution de Julie Dickson, surintendant intérimaire Bureau du surintendant des institutions financières Canada (BSIF) dans le cadre de la réunion de la vérification interne de la Banque Nationale du Canada Montréal (Québec) Le lundi 11 juin 2007 LE TEXTE PRONONCÉ FAIT FOI Pour obtenir de plus amples renseignements, s adresser à : Jason LaMontagne Spécialiste des communications Communications et affaires publiques jason.lamontagne@osfi-bsif.gc.ca www.osfi-bsif.gc.ca
Notes d allocution de Julie Dickson, surintendant intérimaire, Bureau du surintendant des institutions financières Canada (BSIF) dans le cadre de la réunion de la vérification interne de la Banque Nationale du Canada Montréal (Québec) Le lundi 11 juin 2007 Introduction Je vous remercie de m avoir invitée à vous entretenir aujourd hui du point de vue du Bureau du surintendant des institutions financières (BSIF) sur une fonction de contrôle clé que possèdent les institutions financières sans exception -- la vérification interne. En fait, nous sommes rarement invités à parler des fonctions de contrôle, même si la question nous tient à cœur. Par conséquent, nous sommes toujours au rendez-vous lorsque l occasion se présente. Le BSIF se soucie des fonctions de contrôle en raison du système de supervision des institutions financières que nous avons choisi au Canada, dit «système de surveillance tripartite». Quantité de documents historiques mentionnent le système dont je vous parle. J en ai choisi un au hasard, Une étude visant à évaluer les activités et mandats actuels du bureau de l Inspecteur général des banques. Le BSIF a remplacé le Bureau de l inspecteur général des banques. L étude avait été commandée en avril 1986 au cabinet Coopers & Lybrand par l honorable Barbara McDougall (alors ministre d État, Finances). Le cabinet retenu était chargé de recommander l amélioration du système global de supervision des banques au Canada. Beaucoup de changements ont eu lieu depuis lors. Toutefois, le système de surveillance tripartite du Canada a survécu à l épreuve du temps. Son premier volet tient au service de vérification interne et aux autres fonctions de contrôle à l intérieur des banques. Le deuxième consiste en les travaux des vérificateurs externes. Le troisième et dernier volet correspond à la surveillance exercée par l organisme de réglementation. Le BSIF est investi de pouvoirs importants qui ont évolué au fil des ans, mais il dépend fortement du vérificateur externe et du système d inspection des banques ou des leurs fonctions de contrôle, par exemple la vérification interne, la gestion des risques, le contrôle de la conformité, la haute direction et le conseil d administration. 1
Le système de surveillance tripartite est également qualifié de «système fondé sur la confiance». Si nous nous en remettons effectivement aux fonctions de contrôle interne, nous sommes également tenus d établir des principes de fiabilité des mêmes fonctions. Voilà pourquoi nous énonçons nos attentes et nous devenons très agités si nous percevons qu un contrôle comporte des lacunes. Pour cette raison également, je suis heureuse de recevoir des invitations comme celle que vous m avez faite, car elles témoignent de l intérêt que vous portez à l orientation prospective de la fonction de vérification interne et à son évolution au rythme des changements que subissent les questions centrales. Il se dégage un thème central des changements effectués ces dernières années, c est-à-dire l importance accrue de la fonction de vérification interne. Dans la sphère financière sous réglementation fédérale, le BSIF a vu les intéressés souscrire au principe d une vérification interne efficace. Les institutions se sont rendu compte qu il ne suffit pas d écrire «Vérification interne» sur la porte d un bureau pour être considéré comme conforme à la réglementation. Pour que nous les jugions acceptables, les procédures et les responsabilités de la fonction doivent être le fruit d une réflexion profonde, elles doivent être consignées et elles doivent être efficaces. Évaluation de la vérification interne À quoi le BSIF reconnaît-il une solide fonction de vérification interne? Nos surveillants misent sur les critères d évaluation de la vérification interne pour déceler des signes certains d un bon rendement. Les indicateurs ainsi dépistés facilitent l évaluation de la capacité de supervision que possède la fonction. En règle générale, l évaluation par le BSIF de la vérification interne tient compte de la qualité qui caractérise l exercice de son rôle. Le rôle en question consiste à promouvoir un environnement de contrôle robuste qui atténue les risques, à faire en sorte que les lacunes des contrôles soient recensées et comblées, et à procurer au conseil d administration et à la haute direction un degré raisonnable de certitude quant à l efficacité et au respect des contrôles de l organisation et des procédures de l institution. Nous recueillons de diverses façons des éléments probants qui confirment un rendement efficace, notamment par des entretiens avec les administrateurs et la direction. À cette fin, nous avons des échanges avec le vérificateur interne en chef, les vérificateurs externes, les dirigeants d autres fonctions de supervision et, de plus en plus, nous discutons régulièrement avec le président du comité de vérification. Par ailleurs, nous examinons la façon dont les recommandations importantes des vérificateurs et les réponses que leur donne la direction sont 2
traitées par le comité de vérification. En outre, nous nous penchons sur les pratiques de vérification, les rapports et les documents de travail des vérificateurs, et les documents de suivi. Je voudrais maintenant vous parler d indicateurs importants qui aident les surveillants à se prononcer sur le rendement. Quelle perception le conseil d administration et la haute direction entretiennent-ils de la vérification interne? Le BSIF souhaite apprécier la mesure dans laquelle le comité de vérification et la haute direction estiment que la fonction de vérification interne s acquitte efficacement de son mandat. Une fonction efficace informe la haute direction et le conseil d administration des tendances et des enjeux importants afin de leur permettre de prendre des décisions pertinentes et opportunes et de bien comprendre les mesures prises par la direction pour corriger les problèmes. La vérification interne s entretient-elle activement avec le comité de vérification? Une fonction de vérification interne efficace doit être proactive plutôt que réactive, en ce sens qu elle doit s entretenir régulièrement avec le comité de vérification en vue d assurer la disponibilité des ressources nécessaires et d un plan de travail solide. Une fonction efficace s adresse au comité de vérification si elle ne dispose pas de ressources suffisantes pour s acquitter efficacement de son mandat ou lorsque le plan de vérification doit être modifié à la suite de nouveaux projets, de dessaisissements ou d un changement d orientation stratégique de l institution. Dans la même optique, si la vérification interne estime qu elle ne possède pas le savoir-faire nécessaire pour s acquitter d une tâche particulière en donnant le rendement escompté, il lui incombe de s adresser au comité de vérification et de s adjoindre les spécialistes qui lui manquent, si ce n est que temporairement. En outre, la fonction de vérification interne ne doit pas hésiter à saisir le comité de vérification des questions importantes, avec ou sans le consentement de la haute direction. Il ne suffit pas que la direction affirme qu elle traitera d une question, car l intervention est primordiale, et le groupe de la vérification interne doit faire le nécessaire pour que des interventions aient lieu jusqu à ce que la situation soit résolue. L information fournie au comité de vérification doit préciser les problèmes, leur effet sur le contexte de contrôle, l action (ou l inaction de la direction) et leurs conséquences éventuelles pour l institution à défaut de mesures correctives. 3
Nous nous attendons également à ce que la vérification interne se prononce sur l échéancier proposé par la direction s il suscite des inquiétudes. La vérification interne met-elle au jour des facteurs susceptibles d avoir d importantes conséquences pour l institution? Il est primordial que la fonction de vérification interne examine les objectifs, les stratégies, les situations et les initiatives qui pourraient influer sensiblement sur l institution et qu elle garantisse ainsi que les pratiques de gestion des risques et de contrôle demeurent pertinentes et efficaces. De cette façon, le service sera apte à planifier son activité et à y affecter des ressources suffisantes. La vérification interne doit jouer un rôle important dans le processus d approbation des nouvelles initiatives, sans pour autant compromettre son indépendance. Nous nous attendrions à ce que la direction du secteur aussi bien que les fonctions de contrôle (vérification, gestion des risques, contrôle de la conformité) donnent le feu vert avant le lancement d un produit ou d un système d importance ou d un projet d acquisition de taille, entre autres. La vérification interne doit donner son avis sur la question de savoir si la direction a constaté les principaux risques posés par l initiative et si la portée et la rigueur des contrôles prévus de gestion des risques sont suffisantes. Dans quelle mesure la vérification interne recherche-t-elle de l information dans le but d élaborer ou de parfaire les plans de vérification? Le BSIF souhaite constater que la vérification interne recueille énergiquement de l information auprès des gestionnaires des risques, de l actuaire désigné, des agents chargés de la conformité, des vérificateurs externes, du BSIF même et d autres sources pertinentes pour corroborer ou raffermir son évaluation des risques et garantir que son plan de vérification englobe les secteurs qui présentent des lacunes. Pour étoffer ses opinions, une fonction de vérification interne efficace rencontrera les gestionnaires des secteurs d activité aussi bien que les personnes affectées à la supervision dans les domaines de l actuariat, de la gestion des risques et du contrôle de la conformité. Ce faisant, elle doit viser à saisir la nature de chaque secteur d activité, les principaux risques assumés et les contrôles connexes, et les différents points de vue sur les problèmes ou les lacunes mis au jour par l activité de gestion ou de supervision. L information ainsi recueillie peut être envisagée dans le contexte d une évaluation des risques, de constatations de la vérification et de l évolution de l institution et de son milieu d exploitation. À l aide de tous ces renseignements, le vérificateur interne sera à même d élaborer un solide plan de vérification et d établir les priorités, les calendriers et les besoins en ressources des vérifications prévues. 4
De plus, il peut être avantageux de faire participer régulièrement le vérificateur interne en chef ou un membre de la direction du groupe de la vérification aux réunions des divers comités de la haute direction, si ce n est qu à titre d observateur. Le vérificateur interne en chef disposera ainsi d une excellente source d information à mettre au service de la planification des vérifications. La vérification interne ferme-t-elle le dossier dès que la vérification est achevée ou si elle s emploie à suivre les enjeux recensés et à apporter les modifications qui s imposent? La fonction de vérification interne doit suivre activement les enjeux importants et en faire rapport pour assurer un règlement opportun. Elle doit également faire la preuve qu elle est à même d apporter les changements nécessaires aux activités de l institution après qu une lacune importante a été décelée. Je ne peux trop insister sur l importance du suivi et de la communication des questions d importance. Lorsqu un problème demeure longtemps sans solution, la réputation de la fonction de vérification interne risque d être compromise lorsque la haute direction, le comité de vérification ou le conseil d administration se rend compte enfin de son existence. Pire encore, les problèmes en suspens peuvent hausser sensiblement les risques auxquels l institution est exposée. Bien que le rôle de la vérification interne consiste à vérifier les politiques en vigueur, si elle constate que les politiques sont faibles ou n assurent pas la réalisation des résultats escomptés, elle doit le signaler. Certains services soutiendront que cette activité ne relève pas de leur mandat, mais nous croyons le contraire. La vérification interne ne doit pas simplement se contenter de vérifier les politiques qui laissent à désirer, ni s attendre à ce que la direction corrige la situation. Elle doit ajouter de la valeur à la fonction de contrôle et attirer l attention sur les politiques jugées mauvaises ou insuffisantes. La fonction de vérification interne voit-elle la situation dans son ensemble à partir des résultats de la vérification? La vérification interne doit tenir compte de l étendue et de l importance de ses constatations, tant au niveau de chaque activité d envergure qu à celui de l institution dans son ensemble. Nous avons eu connaissance de situations dans lesquelles la vérification interne avait fait de nombreuses constatations semblables en rapport avec la technologie en usage dans un certain nombre de secteurs d activité, chacune semblant négligeable à elle seule. Toutefois, l ensemble des constatations a révélé que la nature systémique du problème exposait l institution concernée à un important risque opérationnel. La vérification interne ne peut s opérer en vase clos. Le vérificateur interne doit toujours être sensible à la situation d ensemble. Les rapports de la vérification interne sont-ils clairs et précis, et font-ils des distinctions entre les constatations en fonction de l importance? Ou bien sont-ils difficiles à déchiffrer et négligent-ils de faire ressortir les 5
constatations les plus importantes? Au terme de la vérification et une fois les constatations présentées, le BSIF cherchera à savoir dans quelle mesure la fonction établit une distinction entre les constatations de la vérification qui influent sur la sécurité et la stabilité et celles qui touchent l efficience des activités et à connaître la façon dont ses constatations sont communiquées et les suites qui leur sont données. Toutes les constatations ne doivent pas avoir un poids égal. L importance de l activité visée doit être pondérée lorsque les constatations sont présentées afin de faire rapport fidèlement de l état des contrôles de l institution. D autre part, un rapport de vérification interne qui ne cerne pas les véritables dangers peut avoir pour conséquence une mauvaise répartition des ressources, ce qui retardera la résolution du problème, voire empirera la situation. La vérification interne confie-t-elle l évaluation de son travail à un intervenant au regard critique? Il s agit d un élément essentiel des critères d évaluation de la vérification interne du BSIF. Vous avez beau disposer de systèmes, de méthodes et de procédés de vérification de premier rang, mais c est la cohérence de l exécution qui détermine le succès de la supervision exercée par la vérification interne. Il est nécessaire de porter au maximum l efficience de la vérification interne en instaurant un mécanisme d assurance de la qualité. Quels genres de personnes l institution a-t-elle mises aux commandes de la fonction de vérification interne? Des carriéristes? D autres types de personnes? Le taux de maintien en poste et de roulement est-il adéquat? Cette affectation est-elle perçue comme un tremplin professionnel? Le secteur des services financiers peut se transformer rapidement dans le monde de plus en plus mouvementé que nous connaissons. Pour cette raison, la fonction de vérification interne doit répondre à une norme rigoureuse. Pour qu elle soit efficace, il est indispensable qu elle comprenne comment et pourquoi des changements se produisent sur le marché et au sein de l organisation et quels en seront les effets sur l institution. Or, l efficacité de la fonction dépend bien souvent des compétences de ses membres. Pour assurer que ces derniers possèdent les compétences requises, une organisation doit se doter d une culture de formation continue. Elle doit acquérir des compétences dans plusieurs domaines clés et en assurer la permanence, notamment un savoir-faire en techniques évoluées de gestion des risques, analyse quantitative, modélisation de la gestion des risques de marché et des risques de crédit, et elle doit avoir l expérience de la détection de la fraude. Le BSIF s inquiète lorsqu il constate que la vérification interne d une institution connaît un taux de roulement élevé. La situation ne doit pas seulement préoccuper le BSIF, car l institution doit s en soucier également. Un taux de 6
roulement rapide, surtout aux paliers les plus élevés, annonce que le service se départit de sources de savoir d importance capitale et qu il perd peut-être de son importance au sein de l institution. En revanche, nous jugeons la situation inquiétante lorsqu il n y a aucun mouvement entre la vérification interne et les autres secteurs d activité. Il s agit de parvenir à l équilibre entre roulement et fidélité. Nous savons que des pressions s exercent en faveur de l efficience dans bon nombre d institutions et que cela fait partie du cours normal des affaires. Cependant, nous verrons toujours d un œil critique les compressions qui touchent les processus de contrôle. La vérification interne est-elle avant-gardiste ou traîne-t-elle de la patte et nage-t-elle dans le brouillard? Je vous ai mentionné combien il était important pour la vérification interne de communiquer ses préoccupations à la haute direction, mais l information doit circuler dans les deux sens. Lorsque la direction modifie l orientation stratégique de l institution, il est capital que la vérification interne en soit informée et comprenne l effet du changement sur le classement des risques par degré de priorité. Le BSIF a eu l occasion de constater les conséquences que la dérogation à ce principe que peut avoir pour une organisation. Nous avons été témoins d institutions qui ont choisi de cibler un marché différent sans adapter leurs politiques aux risques posés par le nouveau produit proposé. Par conséquent, la vérification interne a continué à s intéresser à des politiques périmées. Il a fallu un certain temps avant que les vérificateurs constatent que l entreprise proposait un nouveau produit et que le risque changeait en conséquence. Lorsqu il se produit un tel retard, de nombreuses opérations sont comptabilisées avant que des mesures correctives soient prises. Lorsque surviennent des faits importants comme ceux dont je viens de vous parler, le BSIF examine le rôle joué par la vérification interne dans le dessein de comprendre où les manquements ont pu avoir lieu. Bien qu elles soient parfois difficiles, ces situations sont susceptibles d être utiles en ce sens que le BSIF peut en tirer des enseignements lorsqu il cherche à évaluer l efficacité du groupe de vérification interne d une institution et sa relation avec la direction. Le cas échéant, nous nous demandons si la fonction de vérification n a pas exercé suffisamment de pression ou si la direction a sciemment évité de renseigner la vérification sur la situation. La communication bidirectionnelle est également importante lorsqu il s agit de politiques. Comme je l ai mentionné déjà, la vérification interne doit attirer l attention sur la situation si les politiques ne donnent pas les résultats escomptés. La vérification interne a-t-elle de l influence? Je vous ai dit tantôt que la fonction de vérification interne n a cessé de gagner en importance ces dernières 7
années. Aussi, il se peut que, à une certaine époque, on se préoccupait peu de ses rapports hiérarchiques et qu on se contentait de sa simple existence. Ce n est plus le cas. Le BSIF estime que la fonction doit relever des paliers supérieurs de l institution, que le vérificateur interne en chef doit occuper un rang suffisamment élevé et posséder les pouvoirs nécessaires pour effectuer de véritables changements et que la fonction doit demeurer indépendante des activités centrales. En l occurrence, le fond l emporte sur la forme. Idéalement, le service relèverait directement du comité de vérification, mais il conserve le degré voulu d autonomie grâce aux pouvoirs et aux ressources actuels du vérificateur interne en chef, y compris le droit de veto des décisions du comité concernant l embauche et le licenciement du titulaire de son poste, l accès direct au comité et l approbation des ressources par ce dernier. Nous avons jugé inquiétants certains rapports hiérarchiques, soit parce que, à notre avis, le service ne relevait pas du palier approprié, soit parce qu il n était pas autonome, et nous avons signalé nos inquiétudes afin que des modifications puissent être effectuées. Lorsque la filière hiérarchique est acceptable et que l information est transmise par la vérification interne au palier de gestion compétent, c est-à-dire lorsque les lacunes sont effectivement signalées, la haute direction est en mesure d intervenir rapidement. La question est importante, car nous exigeons la preuve que la direction procède à des interventions valables lorsqu elle est saisie des constatations de la vérification interne. Je ne vous parle pas d une intervention prévue (qui est plus fréquente que l inaction), mais plutôt d une intervention rapide et focalisée qui a pour effet de modifier les comportements constatés. Le palier de direction dont relève la vérification interne a de l importance lorsqu il s agit de résoudre un problème. Le temps mis à trouver une solution est souvent fonction des délais dans lesquels la direction en est informée et des pressions qu elle exerce par la suite en faveur de son règlement. J ajouterais que, bien que nous nous réjouissions de voir résoudre dans de brefs délais tous les problèmes constatés, nous savons pertinemment qu il faut parfois compter un certain temps pour que soient mises en œuvre les recommandations de la vérification interne. Les solutions, à plus forte raison si elles sont de nature technologique, peuvent effectivement être longues à mettre en œuvre, mais il est important de mettre en place entre-temps des contrôles compensatoires. Il incombe à la vérification interne d assurer le suivi de telles situations, voire de proposer des mesures provisoires, plutôt que d attendre que la direction exécute la solution parfaite. La vérification interne est-elle prête pour Bâle? La date de mise en œuvre de Bâle II approche à grands pas. Dans quelque 150 jours, d importants travaux 8
effectués par la communauté internationale, le BSIF et les institutions atteindront leur point culminant. La vérification interne doit jouer un rôle important dans le cadre du processus de Bâle. L Accord de Bâle dit ceci : Un service d audit interne, ou toute autre fonction aussi indépendante, doit revoir au moins une fois l an le système de notation de la banque et son fonctionnement, y compris de la fonction crédit, les estimations PD, PCD et ECD ainsi que la conformité à toutes les exigences minimales applicables. L audit interne doit faire un rapport écrit de ses observations. La vérification interne devra faire rapport au conseil et à la haute direction de l efficacité des contrôles internes de l institution dont l objet est d assurer le respect des exigences minimales de l approche fondée sur la notation interne (NI). Ce rôle est indispensable à la haute direction, tandis qu elle s acquitte de ses responsabilités relatives aux exigences de l approche NI. La vérification interne sera également appelée à confirmer l efficacité des contrôles des systèmes de notation d une institution et de ses estimations internes. Dans le cadre de son examen des mécanismes de contrôle, le service évaluera la profondeur, la portée et la qualité des travaux effectués par les responsables du contrôle du risque de crédit et appliquera des procédés de vérification afin de confirmer leurs conclusions. En prévision de l approbation de l approche NI, la vérification interne doit effectuer, notamment, les activités suivantes : examiner les processus de mise en rapport initiale des exigences minimales de l approche NI et des programmes de vérification; passer en revue le plan de vérification biennal ou triennal qui énumérerait les activités à analyser chaque année et celles qui seraient soumises à un cycle d examen préétabli en vue d apprécier le respect des exigences minimales de l approche NI; constater l étendue de la vérification et évaluer la conception et l efficacité des contrôles internes dont la fonction est d assurer le respect de la totalité des exigences minimales de l approche NI; parcourir les rapports des unités de contrôle du risque de crédit chargées de concevoir, de choisir, de mettre en œuvre et de valider les systèmes de notation de l institution. Les travaux de la vérification interne doivent comprendre un examen de l efficacité des contrôles internes afin d assurer l indépendance des unités responsables des contrôles du risque de crédit; 9
apprécier le caractère suffisant des ressources et des compétences nécessaires à l exécution des travaux de vérification prévus par le nouveau dispositif de Bâle; relever les particularités de tous les travaux de vérification interne confiés à une fonction extérieure autonome ou à des vérificateurs externes. Conclusion Ce sont là quelques-uns des facteurs auxquels le BSIF accorde une importance toute particulière lorsqu il évalue la fonction de vérification interne, mais ils ne sont pas gages de réussite absolue. Le rôle de la vérification interne a beaucoup évolué depuis quelques années, et cette évolution se poursuivra en faveur d une position plus dynamique, plus proactive et plus prospective dans le passé son rôle consistait davantage à trouver la raison du problème qu à en prévoir les conséquences possibles. Je vous suis reconnaissante de m avoir invitée à prendre la parole aujourd hui et à vous entretenir de ce que l équipe du BSIF considère comme les facteurs qui concourent à la vérification interne efficace. Une institution couronnée de succès compte plusieurs secteurs clés, dont, au premier rang, la fonction de vérification interne. Vos conseils, votre rigueur et votre diligence sont garants de la protection tant des déposants que de l institution, et, grâce à eux, le BSIF parvient plus facilement à préserver la confiance qu inspirent la sécurité et la solidité du système financier du Canada. Merci 10