Classification des risques Rapport d audit Rapport n o 7/14 20 novembre 2014 Diffusion Destinataires : Président et chef de la direction Premier vice-président et chef de la direction financière Premier vice-président et chef de la gestion des risques Vice-président, Gestion des risques Vice-président et contrôleur général Directeur de groupe, Gestion du risque de crédit C.c. : Premier vice-président intérimaire, Développement des affaires Premier vice-président, Solutions d affaires et Innovation Premier vice-président et vice-secrétaire, Ressources humaines et Communications Premier vice-président, Assurances Premier vice-président, Affaires générales, et secrétaire Premier vice-président, Financement et Investissements Vice-président, Souscription en assurance crédit Contrôleur général adjoint Directeur de groupe, Comptabilité générale Directeur de programme, COE en classification des risques Directeurs principaux des normes financières, COE en classification des risques Directeur de groupe, Planification stratégique et Relations gouvernementales Directeur principal, Bureau du vérificateur général Directeur, Bureau du vérificateur général Équipe d audit Souhail Sadaka Jordon Alber Muhammad Abid Vice-présidente, Vérification interne Monica Ryan
Table des matières Introduction... 3 Objectif et étendue de l audit... 3 Opinion de la Vérification interne... 3 Constatations de l audit et plans d action... 4 Conclusion... 7 Audit sur la classification des risques 20 novembre 2014 2
Introduction La cote de crédit débiteur est liée à plusieurs processus opérationnels, tels que l approbation de crédit, la déclaration des engagements, les provisions pour prêts et la gestion du capital. Par conséquent, notre plan d audit de 2014 visait notamment la méthode d établissement et de maintien des cotes de crédit débiteur d EDC axée sur les cotes internes. Cette méthode est en place depuis juin 2013 pour l Assurance et cautionnement de contrats (CIB) et le Groupe des prêts aux entreprises et du financement sur l actif (CABL), dont la clientèle représente environ 75 % des engagements de crédit. Elle fait appel à huit modèles sectoriels de classification des risques débiteur, et le Comité de classification des risques en assure la supervision. Chaque modèle tient compte de facteurs quantitatifs et qualitatifs, lesquels, tout comme leur pondération, varient en fonction du secteur. Objectif et étendue de l audit De façon générale, cet audit avait pour objectif d évaluer la conception et l efficacité opérationnelle des contrôles internes entourant la méthode de classification des risques axée sur les cotes internes et d en assurer le bon fonctionnement. Les directives de Bâle et les pratiques de l industrie ont servi de référence aux fins de cette évaluation, qui visait le cadre de référence de la méthode, la conception des facteurs qualitatifs et quantitatifs de chaque modèle sectoriel, la validation de chaque modèle et de la méthode dans son ensemble, l établissement et l approbation des profils d évaluation des risques (PER) des débiteurs ainsi que les contrôles d accès à la plateforme de classification des risques, FACT. Le travail d audit sur le terrain s est déroulé de septembre à novembre 2014. Opinion de la Vérification interne À notre avis, il existe des possibilités d amélioration des contrôles 1 entourant la méthode de classification des risques axée sur les cotes internes. Il faut renforcer le cadre de référence et certains contrôles opérationnels, notamment en tenant compte des trois points suivants : La Politique de classification des risques n a pas été dûment mise à jour pour tenir compte de la méthode axée sur les cotes internes; diverses questions n y sont pas traitées, comme la responsabilité 1 Nos opinions d audit standards sont les suivantes : - Contrôle rigoureux : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Des contrôles internes exemplaires sont en place. Les objectifs du processus vérifié seront très probablement atteints. - Bien contrôlé : Les contrôles clés ont bien été conçus et fonctionnent comme prévu. Les objectifs du processus vérifié seront probablement atteints. - Possibilités d amélioration des contrôles : Un ou plusieurs contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Il se peut que les objectifs du processus ne soient pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus vérifié n est pas négligeable. De promptes mesures s imposent. - Non contrôlé : De nombreux contrôles clés sont absents, ne sont pas bien conçus ou ne fonctionnent pas comme prévu. Les objectifs du processus ne seront probablement pas atteints. Du point de vue des finances et/ou de la réputation, l incidence sur le processus vérifié est importante. Des mesures doivent être prises immédiatement. Audit sur la classification des risques 20 novembre 2014 3
des modèles, la validation, les approbations et les exigences de déclaration à la direction et au Conseil. À l adoption de la méthode, en 2013, des ensembles de données externes ont été achetés puis utilisés pour la validation de chaque modèle. Depuis, deux modèles ont été validés de nouveau. Toutefois, pour améliorer les contrôles davantage, il faut mieux définir les paramètres du processus de validation. Pour ce faire, il faut notamment définir la cadence des validations périodiques. De plus, il reste à élaborer un processus visant à valider la méthode axée sur les cotes internes par une seconde classification indépendante des risques débiteur d EDC. Nous avons remarqué des lacunes dans la conception des composantes tant quantitatives que qualitatives des modèles; selon notre examen détaillé, ces lacunes pourraient avoir un effet sur la classification des risques débiteur. Sur le plan quantitatif, les définitions de divers ratios financiers manquent de clarté et ne tiennent pas compte de certains éléments, comme les engagements hors bilan, les montants des facilités demandées et la capitalisation des opérations de crédit-bail. Ensuite, contrairement aux directives de Bâle, l analyse qualitative se fonde sur des renseignements passés sans tenir compte de l avenir. Enfin, l omission de facteurs qualitatifs, comme l état des flottes (modèle Transports) et le risque politique (modèle Industries extractives) pourrait également avoir un effet sur la classification des risques débiteur. À la lumière de ces remarques, le Groupe de la gestion des risques d entreprise d EDC s est engagé à élaborer un plan d action d ici le premier trimestre de 2015. Constatations de l audit et plans d action 1. Cadre de référence de la méthode axée sur les cotes internes La Politique de classification des risques, intégrée à la Politique sur la gestion des risques et des capitaux (PGRC), a pour but de définir le processus de mesure du risque de crédit de chacun des débiteurs et des engagements de crédit d EDC. La PGRC et chaque politique qui en fait partie font l objet d un examen annuel, et tout changement qui leur est apporté doit être approuvé par le Comité de gestion des risques (RMC) du Conseil en conformité avec son mandat. Dans le cadre de l audit, nous avons fait les constatations suivantes : La Politique de classification des risques n a pas été dûment mise à jour pour tenir compte de la méthode axée sur les cotes internes; diverses questions n y sont pas traitées, comme la responsabilité des modèles, les processus de validation, les approbations ainsi que les exigences de déclaration à la direction et au Conseil nécessaires à la bonne supervision des activités. Les documents internes concernant la méthode axée sur les cotes internes traitent de l harmonisation de cette méthode avec les directives de Bâle applicables, sans préciser qu elle doit y être conforme. Il reste à établir les critères permettant de confirmer cette harmonisation. Audit sur la classification des risques 20 novembre 2014 4
Pour que le certificat de conformité trimestriel présenté au Conseil par la direction relativement à la Politique de classification des risques conserve sa valeur, il faut régler ces questions. À cet égard, la direction a convenu d élaborer un plan d action détaillé d ici le premier trimestre de 2015. Ce plan prévoira l examen complet de la Politique de classification des risques pour veiller à ce qu elle tienne compte des éléments suivants : responsabilité générale de la méthode axée sur les cotes internes, responsabilité liée aux modèles, approbation des modèles, approbation des exceptions en matière de classification des risques, processus de validation et exigences de déclaration. Il tiendra également compte du besoin d établir des politiques complémentaires, notamment sur les modèles et sur la validation. Constatation de l audit Problème majeur 2 Responsable de l intervention Directeur de groupe, Gestion du risque de crédit Date d échéance Premier trimestre de 2015 2. Processus de validation Selon les directives de Bâle et les normes de l industrie, il est nécessaire de valider le système de classification des risques sous-tendant une méthode axée sur des cotes internes. Le processus de validation comprend deux volets : la validation périodique de chaque modèle (à l approbation et par la suite) et les essais continus visant à évaluer l efficacité des modèles et de la méthode dans son ensemble. Dans le cadre de l audit, nous avons pris note des problèmes ci-dessous en ce qui concerne le processus de validation périodique. À l adoption de la méthode, en 2013, des ensembles de données externes ont été achetés puis utilisés pour la validation de chaque modèle. Depuis, deux modèles ont été validés de nouveau. Or, la cadence de validation de tous les modèles n a pas encore été fixée. Il n est pas clair qu une analyse a été menée pour déterminer si les ensembles de données externes étaient raisonnablement représentatifs des débiteurs d EDC. Il n est pas clair que les validations initiale et subséquentes comprenaient une vérification comparative des résultats en fonction d indicateurs externes. Nous avons aussi remarqué qu aucun processus continu n avait été mis en place pour que la méthode axée sur les cotes internes soit validée par une seconde classification indépendante des risques débiteur d EDC. À cet égard, la direction a convenu d élaborer un plan d action détaillé d ici le premier trimestre de 2015. Ce plan tiendra compte du besoin d enquêter sur la pertinence et la cohérence des ensembles de données externes par rapport aux débiteurs d EDC et de consigner l information qui en ressort, de s assurer que les validations périodiques comprennent une vérification comparative en fonction d indicateurs externes, de 2 Les constatations d audit sont établies comme suit : Problème majeur : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation n est pas négligeable. L objectif du processus sur lequel porte le contrôle ne sera probablement pas atteint. Des mesures correctives s imposent pour que les contrôles soient rentables et/ou que les objectifs du processus soient atteints. Problème modéré : Un contrôle clé est absent, est mal conçu ou ne fonctionne pas comme prévu, et le risque financier et/ou de réputation pour le processus n est pas négligeable. Cependant, un contrôle compensatoire existe. Des mesures correctives s imposent pour éviter de compter uniquement sur les contrôles compensatoires et/ou pour s assurer que les contrôles sont rentables. Problème mineur : Faiblesse dans la conception et/ou le fonctionnement d un contrôle qui n est pas un contrôle clé. Il est peu probable que l atteinte des objectifs soit compromise. Il est recommandé de mettre en place des mesures correctives pour rentabiliser les contrôles. Audit sur la classification des risques 20 novembre 2014 5
définir la cadence des validations périodiques et de l ajuster en cas de changements importants dans un secteur concerné ainsi que d élaborer un processus continu visant une seconde classification indépendante des risques. Constatation de l audit Problème majeur Responsable de l intervention Vice-président, Gestion des risques et directeur de groupe, Gestion du risque de crédit Date d échéance Premier trimestre de 2015 3. Conception des modèles sectoriels Chaque modèle sectoriel s appuie sur une série de facteurs quantitatifs et qualitatifs servant à déterminer les cotes de crédit débiteur. Chaque facteur et sa pondération varient selon le modèle; la pondération des facteurs quantitatifs varie entre 50 % et 70 %, tandis que le reste relève des facteurs qualitatifs. Nous avons noté plusieurs problèmes concernant certains facteurs quantitatifs et qualitatifs de différents modèles. En voici quelques-uns : Contrairement aux directives de Bâle, l analyse qualitative de chaque modèle se fonde sur des renseignements passés sans tenir compte de l avenir. Tous les modèles traitent la diversification géographique et la diversification des recettes comme étant un seul et même facteur qualitatif et non deux facteurs distincts. Les facteurs qualitatifs du secteur des transports ne tiennent pas compte de l état des flottes, qui peut avoir un effet sur la capacité future du débiteur à générer un revenu ou à financer d importants travaux d entretien. Le risque politique peut être considérable dans le secteur des industries extractives, mais il ne figure pas parmi les facteurs qualitatifs qui s y rattachent. Les définitions de plusieurs ratios financiers liés à l aspect quantitatif des modèles manquent de clarté et ne tiennent pas compte de certains éléments, comme les engagements hors bilan, les montants des facilités demandées et la capitalisation des opérations de crédit-bail. L exclusion de ces trois éléments a un effet sur la majorité des ratios de chaque modèle. La direction a convenu d élaborer un plan d action détaillé pour régler ces problèmes d ici le premier trimestre 2015. Ce plan tiendra compte du besoin d inclure des renseignements prospectifs dans l analyse qualitative, d inclure les facilités demandées dans l analyse quantitative, de traiter la diversification géographique et la diversification des recettes comme deux facteurs distincts, d ajouter le risque politique et l état des flottes aux facteurs qualitatifs des modèles des industries extractives et des transports, respectivement, ainsi que de rendre plus détaillées les définitions de ratios en y incluant, s il y a lieu, des éléments comme les engagements hors bilan, la capitalisation des opérations de crédit-bail et les montants des facilités demandées. Constatation de l audit Problème majeur Responsable de l intervention Directeur de groupe, Gestion du risque de crédit Date d'échéance Premier trimestre de 2014 Audit sur la classification des risques 20 novembre 2014 6
4. Examen et approbation des PER La classification du risque de chaque débiteur commence par l élaboration d un profil d évaluation du risque (PER). Une fois terminé, chaque PER est approuvé avant que la cote de crédit ne soit entrée dans FACT. Vu l importance que revêt l exactitude de ces renseignements, nous avons mené des essais détaillés sur un échantillon de PER. Nous avons conclu que le processus d approbation de ces profils ne permettait pas toujours de faire la lumière sur les problèmes qui auraient pu influencer la cote de crédit d un débiteur. Plus précisément, nous avons conclu que, dans bien des cas, l information fournie dans le PER n appuyait pas les résultats de l analyse qualitative. En outre, l information financière y était parfois mal classée (p. ex. l intérêt sur les autres obligations portant intérêt figurait sous «autres charges d exploitation»). Enfin, nous avons remarqué l utilisation d anciens états financiers malgré l accessibilité d états financiers plus récents. La direction a convenu d élaborer et de mettre en œuvre des procédures d examen et d approbation de PER plus solides. Constatation de l audit Problème majeur Responsable de l intervention Directeur de groupe, Gestion du risque de crédit Date d échéance Deuxième trimestre de 2015 Conclusion Les constatations de l audit ont été communiquées à la direction, qui les a acceptées et a élaboré des plans d action appropriés. Nous tenons à remercier la direction de son appui tout au long de l audit. Audit sur la classification des risques 20 novembre 2014 7