Bureau du surintendant des institutions financières Rapport de la Vérification interne sur le Groupe des assurances multirisques (GAM), Secteur de la surveillance Juin 2013
Table des matières 1. Contexte... 3 2. Objectif, portée et stratégie... 5 3. Conclusion... 7 4. Réponse de la direction... 8 5. Observations et recommandations... 9 Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 2 de 12
1. Contexte Introduction Le service de la Vérification interne réalise des travaux de certification pour déterminer si les processus de gestion, de contrôle et de gouvernance des risques du Bureau du surintendant des institutions financières Canada (BSIF), tels qu ils ont été conçus et présentés par la direction, sont adéquats et fonctionnent de manière à ce que les risques soient bien recensés et pris en charge, et pour veiller au respect d exigences exprimées sous forme de politiques, de plans, de procédures ainsi que de lois et de leurs règlements d application. La surintendante et le Comité de vérification ont consenti à ce que l audit du Secteur de la surveillance - Groupe des assurances multirisques (GAM) soit inscrit dans le Plan de vérification interne du BSIF de 2012-2013. Le présent rapport rend compte des résultats de cet audit. Il s appuie sur les travaux achevés à la fin d avril 2013. Les recommandations découlant de l audit aideront le GAM à améliorer continuellement son cadre de contrôle de l évaluation des profils de risque des sociétés d assurances multirisques fédérales. Le présent rapport a été présenté au Comité de vérification du BSIF le 20 juin 2013 et approuvé par la surintendante le 24 juin 2013. Le surintendant auxiliaire, Secteur de la surveillance, et le directeur général, Groupe des assurances multirisques, qui ont fourni les commentaires de la direction présentés ici, l ont également examiné. Contexte Le Groupe des assurances multirisques (GAM) fait partie du Secteur de la surveillance du BSIF, et il est responsable de la surveillance des sociétés d assurances multirisques. Voici certaines des attributions et activités du GAM. Surveiller les institutions financières fédérales (IFF), spécialement dans le secteur des assurances multirisques, pour s assurer qu elles sont en bonne santé financière et qu elles se conforment aux lois qui les régissent et aux exigences de surveillance. Aviser sans délai les IFF présentant de graves lacunes et prendre, ou forcer la direction ou le conseil d administration à prendre, des mesures pour corriger la situation. Inciter les IFF à adopter des politiques et des procédures conçues pour contrôler et gérer le risque. Administrer, par l entremise de la Sous-section de l administration des valeurs mobilières (SSAVM), les actifs placés en fiducie / les comptes de dépôts ordinaires (pour les succursales des institutions de dépôts et les sociétés d assurance-vie et d assurances multirisques) et le cadre de gestion des sûretés en matière de réassurance. Suite à la page suivante Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 3 de 12
1. Contexte, suite Contexte (suite) L objectif du processus de surveillance du BSIF consiste à évaluer la sécurité et la stabilité des IFF par entité juridique et sur une base consolidée et à indiquer les signes avant-coureurs de problèmes afin de permettre au BSIF d intervenir en temps opportun et avec efficacité lorsqu il estime que les pratiques de l IFF sont imprudentes ou néfastes, ou qu elles sont susceptibles de l être à l avenir. Le processus de surveillance du BSIF consiste à recenser les risques importants, à évaluer la sensibilité des activités de l IFF à des facteurs externes, à comprendre la mesure dans laquelle l IFF gère efficacement ses risques et à formuler, s il y a lieu, des recommandations pour renforcer la gestion et la gouvernance. Le processus de surveillance (qui est décrit dans la version de 2010 du Cadre de surveillance) prend fin avec l évaluation par le BSIF du profil de risque de l IFF, c.-à-d. l attribution d une cote de risque composite (CRC). Le GAM est l un des trois principaux groupes de surveillance du Secteur de la surveillance qui applique le processus de surveillance pour aider le BSIF à s acquitter de son mandat de protéger les déposants et les souscripteurs contre les pertes indues grâce à des évaluations périodiques des risques, à des activités de surveillance, à des examens sur place et à une intervention rapide auprès des IFF. Le BSIF a pour mandat d offrir une protection égale à tous les déposants, souscripteurs et participants des régimes de retraite grâce à une surveillance efficace. Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 4 de 12
2. Objectif, portée et stratégie Objectif de l audit L audit avait pour objet de donner l assurance raisonnable que le Groupe des assurances multirisques (GAM) utilise efficacement les résultats des simulations de crise exécutées par les sociétés d assurances multirisques fédérales et qu il en tient compte dans son évaluation des risques qui pèsent sur ces institutions. Spécifiquement, l audit a permis d évaluer : 1. si le cheminement logique des analyses et des évaluations effectuées par les surveillants à l égard des résultats des simulations de crise exécutées par les IFF figurant dans les documents d évaluation des risques (DER) et(ou) les notes de section justifie les évaluations des risques par les surveillants; 2. la mesure dans laquelle les examens de contrôle de la qualité (CQ) permettent de repérer les problèmes de qualité du travail et de voir à ce que le processus de surveillance du BSIF soit appliqué comme il se doit. Portée de l audit Les gestionnaires des relations (GR) du GAM résument les analyses et les évaluations du profil de risque de leurs institutions respectives présenté dans le DER et dans la matrice de risque. L audit a porté sur les analyses et les évaluations par les surveillants des résultats des simulations de crise exécutées par les IFF qu ils ont documentés dans les DER et les matrices de risque pour un échantillon de sociétés d assurances multirisques des bureaux de Toronto et de Vancouver. Reconnaissant que le processus de surveillance est un processus de connaissances accumulées et ne cesse d évoluer, le service de la VI a examiné les DER et les évaluations des risques pour la période allant de janvier 2012 à mars 2013. Éléments exclus de la portée de l audit L audit n a pas porté sur les éléments suivants. Une évaluation de l exactitude et de l intégralité des simulations de crise des IFF, notamment des hypothèses utilisées dans le cadre de ces simulations, qui sont prises en compte par les GR du GAM dans leurs évaluations des risques qu ils documentent dans les DER et les matrices de risque. La surveillance par le GAM des sociétés d assurance hypothécaire, puisque que cet aspect sera visé dans un futur audit. Les filiales des assurances multirisques des institutions de dépôts (ID) et des conglomérats de sociétés d assurance-vie, car ce sont d autres divisions qui sont responsables de la surveillance de ces filiales. Suite à la page suivante Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 5 de 12
2. Objectif, portée et stratégie, suite Stratégie d audit L audit s est déroulé en pleine conformité aux normes internationales pour la pratique professionnelle de l audit interne définies par l Institute of Internal Auditors et en accord avec la Politique sur la vérification interne du Conseil du Trésor. L audit du Groupe des assurances multirisques s est surtout appuyé sur le cadre intégré de gestion du risque d entreprise du Committee of Sponsoring Organizations of the Treadway Commission (COSO), qui est reconnu internationalement. Aux fins de cet audit, nous avons : examiné le Cadre de surveillance et les guides connexes du BSIF pour nous mettre à jour au sujet des exigences; passé en revue les lignes directrices pertinentes du BSIF pour nous mettre à jour sur les responsabilités des IFF à l égard des simulations de crise; étudié le processus d examen et d évaluation des résultats des simulations de crise des IFF et le processus d intégration de ceux-ci aux mises à jour des notes de section, du DER et de la matrice de risque effectuées par l équipe des surveillants. vérifié par échantillonnage les documents des surveillants pour analyser l acheminement logique des évaluations par les GR des résultats des simulations de crise exécutées par les IFF; évalué l efficacité des examens du contrôle de la qualité du travail des surveillants faits par les gestionnaires. Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 6 de 12
3. Conclusion Conclusion Dans l ensemble, le service de la VI a reçu l assurance raisonnable que le Groupe des assurances multirisques (GAM) tient compte des résultats des simulations de crise exécutées par les sociétés d assurances multirisques fédérales dans leurs évaluations des risques qui pèsent sur ces institutions. Spécifiquement, nous avons constaté ce qui suit. Le cheminement logique des analyses et des évaluations effectuées par les surveillants à l égard des résultats des simulations de crise des IFF figurant dans les divers documents de surveillance justifie les évaluations des risques par les surveillants. Les examens de contrôle de la qualité (CQ) permettent de repérer les problèmes de qualité du travail et de voir à ce que le processus de surveillance du BSIF soit appliqué comme il se doit. Le service de la Vérification interne a cerné deux possibilités d amélioration pour renforcer les activités relatives aux processus et aux contrôles du GAM. 1. Examiner plus en détail son modèle de ressourcement dans le cadre de son exercice annuel et permanent de planification et d affectation des ressources. 2. Veiller à ce que les employés du Secteur de la surveillance qui n ont pas reçu la formation déjà prévue sur le Cadre de surveillance obtiennent la formation voulue, en communiquant avec la Division des pratiques de surveillance et la Division de l apprentissage et du perfectionnement pour coordonner le tout. D après mon jugement professionnel de dirigeante principale de la vérification, les procédures d audit appliquées sont suffisantes et adéquates et les preuves recueillies pour confirmer l exactitude de l opinion formulée dans le présent rapport aussi. Pour formuler cette opinion, on a établi une comparaison entre la situation, telle qu elle était à l époque, et les critères d audit définis au préalable et approuvés par la direction. L opinion ne vise que l entité à l étude. L audit a été effectué conformément aux normes du gouvernement du Canada en matière d audit interne, ainsi qu appuyées par les résultats du programme d amélioration et d assurance de la qualité. Nous tenons à souligner l excellent rapport et l excellent échange de points de vue avec tous ceux ayant participé à l audit. Il aurait été impossible de procéder à un examen aussi approfondi et d insister sur ce qui est important sans le soutien manifesté tout au long de l audit. Dirigeante principale de la vérification, VI Date Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 7 de 12
4. Réponse de la direction Aperçu Le présent rapport a été examiné par le directeur principal, Groupe des assurances multirisques (GAM), et par le surintendant auxiliaire, Secteur de la surveillance, qui en acceptent les observations et les recommandations. Les recommandations aideront le GAM à poursuivre ses efforts en vue de renforcer et d améliorer la formation des membres de son équipe et de rehausser ses processus de documentation. Réponses / Commentaires Le GAM tient à remercier l équipe d audit d avoir procédé à cet exercice de façon professionnelle, claire et transparente. Nous sommes d accord avec les thèmes généraux énoncés dans le rapport d audit. C est avec plaisir que nous prenons note des commentaires positifs au sujet de la prise en compte des résultats des simulations de crise exécutées par les assureurs dans les évaluations faites par le GAM des risques qui pèsent sur les sociétés d assurances multirisques. Le GAM s engage à donner suite aux points soulevés dans le rapport d audit. Le GAM exécutera deux processus pour donner suite à la recommandation 1 et aux observations sous-jacentes connexes. i. Le GAM analysera en détail les ressources à l appui de ses efforts et de son processus de surveillance de base. Les résultats de cet exercice seront présentés au surintendant auxiliaire du Secteur de la surveillance au plus tard en décembre 2013, ce qui confirmera que cette recommandation a fait l objet d un suivi. Responsable : Directeur principal, GAM ii. Pour donner suite aux observations connexes, le GAM améliorera ses processus d assurance de la qualité pour ce qui est de la cohérence de la documentation. Des examens ciblés seront réalisés et des mesures correctrices seront prises au plus tard en juin 2014, ce qui prouvera que les observations relatives à la cohérence ont été prises en compte. Responsable : Directeur général, GAM En ce qui a trait à la recommandation n o 2, des séances de formation à l intention des employés concernés afin de mieux appliquer les récentes modifications apportées au Cadre de surveillance sont actuellement mises au point avec la Division des pratiques de surveillance. Les séances auront lieu d ici le mois de décembre 2013. Le GAM poursuivra les séances de formation du personnel afin de mettre à jour leurs connaissances et compétences et il instaurera un système pour suivre les inscriptions auprès de la Division de l apprentissage et du perfectionnement. Le fait de suivre les inscriptions aux activités de formation par l entremise de la Division de l apprentissage et du perfectionnement permettra de prouver que l ensemble de la recommandation a fait l objet d un suivi. Responsable : Directeur (Opérations), GAM Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 8 de 12
5. Observations et recommandations Critères d évaluation de l audit Les critères de l audit s appuyaient sur l évaluation par le service de la VI des principaux risques inhérents au Groupe des assurances multirisques (GAM) et se fondent sur le cadre intégré de gestion du risque du Committee of Sponsoring Organizations of the Treadway Commission (COSO), qui est reconnu internationalement. Chaque observation ci-après a un lien direct avec les critères de l audit appliqués pour évaluer le GAM. Processus et activités de contrôle Application du Cadre de surveillance et des guides connexes du BSIF a. Les modèles et guides connexes au sujet des documents de surveillance mis à la disposition des équipes de surveillance pour faciliter l exercice de leurs fonctions sont accessibles, officiels et communiqués aux gestionnaires des relations (GR) et aux surveillants du GAM. b. Le GR met périodiquement et continuellement à jour les documents de surveillance en fonction des événements importants qui peuvent être cernés dans les simulations de crise exécutées par les IFF. c. Les problèmes d ordre prudentiel décelés grâce aux simulations de crise et pouvant influer sur le profil de risque de l institution sont évalués en temps opportun. d. Le cheminement logique des analyses et évaluations par les surveillants des résultats des simulations de crise exécutées par les IFF figurant dans les documents de surveillance justifie, dans l ensemble, les évaluations des risques des surveillants. Il y a des possibilités d amélioration se reporter à Observation / Recommandation n o 1 ci-après. Gouvernance Supervision par la direction a. Les examens de contrôle de la qualité (CQ) sont réalisés par les gestionnaires compétents et se sont généralement avérés efficaces pour détecter les problèmes dans la qualité des travaux et s assurer que les méthodes de surveillance du BSIF sont appliquées comme prévu. b. La direction exerce une surveillance adéquate à l égard des évaluations des risques des IFF effectuées par l équipe de surveillance. c. La formation sur la version à jour de la méthode de surveillance et de son application est, dans l ensemble, donnée au personnel. Il y a des possibilités d amélioration se reporter à Observation / Recommandation n o 2 ci-après. Observation 1 Incohérence des cotes de risque dans les documents de surveillance Selon le Cadre de surveillance du BSIF, «Les activités de surveillance du BSIF s entendent de l évaluation de la sécurité et de la solidité des IFF, de la prestation d une rétroaction pertinente et du recours aux pouvoirs qui lui sont conférés pour intervenir en temps opportun lorsque la situation l exige. Le dossier de chaque IFF est confié à un gestionnaire des relations (GR), auquel il incombe de veiller à ce que le profil de risque de l institution demeure à jour. Divers spécialistes et autres membres du personnel du BSIF prêtent leur concours à la réalisation de ces travaux.» Suite à la page suivante Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 9 de 12
5. Observations et recommandations, suite Observation 1 Incohérence des cotes de risque dans les documents de surveillance «Toutes les évaluations (des GR) sont consignées dans une matrice de risque Cette matrice vise à faciliter l évaluation globale du risque auquel une IFF est exposée Bien que la matrice de risque soit une façon commode de résumer les conclusions du BSIF issues de l évaluation du risque, elle est tout de même étayée par des documents détaillant l analyse et les motifs à l appui de ces conclusions.» Les équipes de surveillance documentent leurs analyses et leur justification de la cote de risque dans la matrice de risque qui se trouve dans le document d évaluation des risques (DER) et, s il y a lieu 1, dans les notes de section (NS) détaillées sous-tendant les DER, à l aide des modèles et guides des documents de surveillance portant sur l application du Cadre de surveillance. Les résultats des simulations de crise exercées par les IFF font partie des différents éléments examinés, analysés et évalués par les surveillants pour déterminer les cotes des risques inhérents et des fonctions de la qualité de la gestion du risque (QGR) de chaque activité ou activité d envergure des IFF. Le service de la Vérification interne (VI) a constaté des incohérences dans les cotes de risque figurant dans les documents de surveillance. Les incohérences ont toutes été relevées dans les documents de surveillance des équipes de GR de Toronto; le service de la VI n en a relevé aucune dans les documents de surveillance des équipes de GR de Vancouver. Les incohérences n ont pas eu d effet sur l évaluation globale de l IFF, car c était des cas isolés dans la version définitive de la matrice de risque; cependant, à des fins de viabilité et de transfert des connaissances, il importe que les documents soient cohérents. Le service de la VI a discuté avec le GAM et a indiqué que les points suivants augmentent le risque d incohérence dans les documents de surveillance. 1. Le modèle de ressourcement du GAM n a pas été modifié même si la charge de travail des GR a augmenté en raison de ce qui suit. a. La ligne directrice B-3 du BSIF (ligne directrice sur les saines pratiques et procédures de réassurance) diffusée en décembre 2010 a fait augmenter le volume des examens et des agréments des sûretés relatives à la réassurance à la fin de l exercice. Les GR doivent valider les demandes avant qu elles ne soient approuvées par la Sous-section de l administration des valeurs mobilières. b. Les améliorations sans cesse apportées aux directives sur l application du Cadre de surveillance. Ce sujet continue page suivante 1 Pour les entités d assurances multirisques plus grandes et plus complexes, les équipes des GR se servent des NS pour justifier leurs évaluations des risques qui pèsent sur les activités d envergure de l IFF. Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 10 de 12
5. Observations et recommandations, Suite Observation 1 Incohérence des cotes de risque dans les documents de surveillance 2. Certains surveillants ne sont peut-être pas toujours précis sur la façon de coter les risques pour certaines fonctions de GQR à l égard d une activité opérationnelle. Cela s explique par le fait que les directives sur l application du Cadre de surveillance ne cessent d évoluer et que certaines des fonctions de la QGR (p. ex., actuariat) sont nouvelles et que des surveillants sont venus s ajouter aux équipes de GR de la GAM. Par exemple : a) Le Cadre de surveillance du BSIF a été mis à jour en 2010 et les directives sur l application des principes et concepts qui y sont énoncés continuent d évoluer. b) D autres directives sur l évaluation des cessions en réassurance en tant qu activité d envergure et certaines fonctions de la QGR (p. ex., actuariat) ont été remises aux équipes de surveillants en 2011-2012. La façon dont les surveillants appliquent ces directives n est pas encore définitivement déterminée, mais elle le sera avec le soutien continu de la Division des pratiques de surveillance, du service d actuariat et le Groupe de soutien de la Surveillance. 3. Le nombre d IFF dont un GR du GAM à Toronto est responsable semble plus élevé que dans certains autres groupes et les raisons pour lesquelles il en est ainsi ne sont pas claires. Recommandation 1 Le service de la VI reconnaît que la haute direction du GAM se penche sur la suffisance et l affectation de ses ressources dans le cadre de son exercice annuel de budgétisation et de planification. Même si le GAM adopte une approche axée sur les risques pour planifier et affecter ses ressources aux fins des examens sur place dans les IFF, il faut tout de même appliquer des normes à l égard des documents de surveillance pour les IFF qui n ont pas fait l objet d un examen sur place approfondi pendant l année. Voici ce que le service de la VI recommande au GAM. a) Examiner plus en détail son modèle de ressourcement dans le cadre de son exercice annuel et permanent de planification et d affectation des ressources. b) Continuer d insister auprès du personnel sur la nécessité d une matrice de risque bien appuyée en faisant de l encadrement et en donnant de la rétroaction dans le cadre du processus d examen du contrôle de la qualité. Ce sujet continue page suivante Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 11 de 12
5. Observations et recommandations, Suite Observation 2 Formation sur la version à jour du Cadre de surveillance Le BSIF a révisé son Cadre de surveillance en 2010. Il incombe à la Division des pratiques de surveillance et à la Division de l apprentissage et du perfectionnement d offrir à tous les nouveaux employés et aux employés en place de la formation sur la version à jour du Cadre de surveillance. Cette formation a d abord été donnée en trois modules, chacun étant offert pour une certaine période. Le service de la VI a passé en revue les dossiers de la Division de l apprentissage et du perfectionnement concernant les employés responsables de la surveillance du GAM au bureau de Toronto et de tous les employés affectés à la surveillance aux bureaux de Vancouver et de Montréal et a constaté que bien des employés non-cadres (à l emploi du BSIF avant 2011) n avaient pas participé au dernier module sur la version à jour du Cadre de surveillance, soit : six (6) des 25 employés affectés à la surveillance du GAM à Toronto; deux (2) des sept (7) membres de l équipe de surveillance de Vancouver; trois (3) des quatre (4) à Montréal. Il convient de souligner que le personnel affecté à la surveillance dans les bureaux régionaux (Vancouver et Montréal) est responsable des sociétés d assurances multirisques et des institutions de dépôts fédérales. Le service de la VI indique que cette situation est un peu mitigée, la direction du GAM prenant périodiquement des mesures pour que des spécialistes en la matière du service d actuariat et de la Division des pratiques de surveillance donnent de la formation supplémentaire ou des précisions sur la méthode de surveillance, au besoin, pendant les réunions mensuelles du personnel du GAM ou d autres rencontres prévues au calendrier. Recommandation 2 Voici ce que le service de la VI recommande au GAM. a) Continuer d offrir à ses employés des séances de formation périodiques sur le secteur des assurances et la méthode de surveillance. b) Coordonner les activités avec la Division des pratiques de surveillance et la Division de l apprentissage et du perfectionnement pour voir à ce que tous les employés affectés à la surveillance du GAM reçoivent la formation adéquate sur tous les modules de la version à jour du Cadre de surveillance qu ils n ont pas encore suivie. Rapport d audit sur le Secteur de la surveillance Groupe des assurances multirisques (GAM) Page 12 de 12