Allocution à l’Institut C.D. Howe au sujet de l’intégrité et de la sécurité

Merci de cette sympathique présentation, Stuart.

Avant de commencer, je tiens à souligner que nous sommes réunis aujourd’hui sur le territoire traditionnel de la Première Nation Mississauga de Credit, ainsi que des peuples Anishinaabé, Chippewa, Haudenosaunee et Wendat, et que ce territoire est aussi le foyer de nombreux peuples des Premières Nations, des Inuits et des Métis.

L’occasion qui m’est donnée d’être présent sur ce territoire me remplit de gratitude. Je vous encourage vivement à lire les 94 appels à l’action de la Commission de vérité et réconciliation du Canada.

Je suis ici aujourd’hui parce que je voulais profiter de cette tribune publique pour parler du mandat élargi que le Parlement a confié l’an dernier au Bureau du surintendant des institutions financières, ou BSIF. Vous vous souviendrez peut-être que dans la Loi d’exécution du budget de 2023, le Parlement a modifié le mandat du BSIF afin qu’il exerce une surveillance des institutions financières fédérales pour déterminer si elles disposent de politiques et de procédures adéquates pour se protéger contre les menaces à leur intégrité et à leur sécurité, ce qui inclut l’ingérence étrangère.

À propos de la singularité du mandat du BSIF

Par le passé, le mandat du BSIF comportait une seule exigence qui l’emportait sur tout le reste : veiller à ce que les institutions soient en bonne santé financière, et, si leur situation financière se détériorait, exiger que leur conseil d’administration prenne rapidement des mesures correctives afin de restaurer leur santé financière.

Ce mandat singulier a très bien fonctionné au cours des 20 premières années d’existence du BSIF, mais il a perdu son utilité lors de la crise financière mondiale. Les organismes de réglementation ont réalisé que même si les indicateurs classiques de la situation financière (comme les fonds propres et la liquidité) étaient essentiels pour garantir la stabilité institutionnelle et systémique, ils étaient trop souvent des indicateurs « retardés ». Ainsi, en tant que spécialistes de la réglementation des institutions financières, nous avons commencé à porter davantage attention aux risques non financiers lorsque l’économie se remettait de la crise financière.

Au Canada, mes deux prédécesseurs, Julie Dickson et Jeremy Rudin, se sont assuré que le BSIF soit en mesure d’élaborer rapidement et attentivement un ensemble de lignes directrices sur le risque non financier. J’ai donc eu la chance de pouvoir tirer parti de leur travail acharné lorsque j’ai été nommé surintendant.

Que signifie le terme « prudentiel »?

Mais le fait est que, du moins jusqu’à l’an dernier, nous avions tendance au BSIF – et même une forte tendance – à dissocier nos lignes directrices sur le risque non financier (par exemple, sur la gouvernance d’entreprise ou sur la gestion du risque lié aux tiers) de celles sur le risque financier (par exemple, sur la suffisance des fonds propres et des liquidités). Nous avons aussi eu tendance à qualifier le risque financier de « prudentiel » et le risque non financier, de « non prudentiel ». Bref, nos approches touchant le risque financier et le risque non financier étaient séparées et inégales.

Je crois que le terme « prudentiel » est intéressant. Au BSIF, nous avions tendance à l’associer à la stabilité financière, ce qui nous a amenés, inconsciemment, à maintenir cette approche distincte et inégale de réglementation et de surveillance des institutions financières. Or, il arrivait parfois que des institutions financières éprouvent des difficultés de nature non financière, qui ne comprenaient pas toujours des lacunes financières, mais qui engendraient chaque fois un certain degré d’incertitude entourant la viabilité de l’institution. Vous avez sûrement entendu parler de quelques‑unes de ces institutions ou lu quelque chose à leur sujet, mais pour la plupart, vous n’en aurez pas entendu parler.

Nous avons pris conscience ces dernières années que notre définition conventionnelle du terme « prudentiel » était incomplète. Nous pensions que la solvabilité était le maître mot, mais cette façon de penser s’est révélée trop simpliste, parce que nous sous‑estimions le fait que le risque non financier peut générer un risque financier, souvent de manière soudaine et brutale. Il est essentiel de gérer le risque de solvabilité et le risque de liquidité; toutefois, comme je l’ai dit plus tôt, ils constituent habituellement des indicateurs retardés d’instabilité financière. L’expérience nous apprend qu’une évaluation inadéquate du risque non financier est souvent à l’origine de l’instabilité financière dans une institution.

Un organisme compétent de réglementation des institutions financières, ou encore son conseiller juridique vous diront que l’adjectif « prudentiel » ne se rapporte pas exclusivement à la protection contre les menaces pesant sur la stabilité financière. Il concerne plutôt la protection des déposants, des souscripteurs et des créanciers. C’est d’ailleurs à partir de cette définition exacte et complète du terme « prudentiel » que le mandat du BSIF a été élaboré. À l’article 4 de la Loi sur le BSIF, le paragraphe (3) précise que le BSIF doit s’efforcer de protéger « les droits des déposants, souscripteurs et créanciers des institutions financières ». Une lecture plus réfléchie de la Loi sur le BSIF permet de prendre conscience que le risque non financier peut miner les droits des déposants, des souscripteurs et des créanciers des institutions financières. Puis, le risque financier constituera souvent le dernier indicateur de ce phénomène. Le risque non financier est donc, en réalité, un risque prudentiel, et le BSIF doit le surveiller et le réglementer selon une approche équivalente à celle qui s’applique au risque financier.

D’ailleurs, si on prend du recul et qu’on pense aux institutions financières à la lumière du gros bon sens, il devient tout à fait clair que cette définition élargie du terme « prudentiel » est très logique. Imaginez que vous êtes le créancier ou le prêteur d’une institution financière. Puis, posez‑vous la question suivante : Est‑ce que je peux vraiment me fier au ratio de fonds propres ou de liquidité de mon institution financière si j’ai des inquiétudes à propos de sa gestion du cyberrisque, de sa gestion du risque lié aux tiers, de l’intégrité de ses dirigeants, de la sécurité de ses actifs corporels et de ses ressources d’information, de la qualité de sa conformité aux lois en vigueur dans les administrations où elle exerce ses activités, de sa culture organisationnelle et de la rigueur de la gouvernance exercée par son conseil d’administration?

L’histoire financière déborde d’exemples de sociétés dont la faillite est attribuable à ces aspects, même si leurs indicateurs financiers ne reflétaient pas la gravité de leurs problèmes, parfois même jusqu’au tout dernier moment ou presque. Si cet argument ne vous convainc pas, je vous invite à demander le point de vue des anciens créanciers de ces institutions… ou de leurs anciens actionnaires.

Interpréter la ligne directrice du BSIF sur l’intégrité et la sécurité

Ainsi, tout cela m’a amené à conclure que les révisions apportées au mandat du BSIF reflètent l’évolution naturelle et appropriée de ses responsabilités en matière de surveillance et de réglementation, au service de la population canadienne. De plus, le régime d’intégrité et de sécurité que nous mettons en place ne constitue pas un nouvel instrument réglementaire, mais plutôt un repositionnement de nos activités de surveillance et de réglementation qui s’est amorcé depuis la crise financière mondiale de 2008‑2009.

En fait, si une personne lit la ligne directrice que le BSIF a récemment publiée sur l’intégrité et la sécurité, elle conclura, selon moi, que cette ligne directrice n’énonce pas de nouvelles attentes sur le plan de la réglementation, mais plutôt qu’elle intègre en un tout cohérent des lignes directrices existantes qui portent sur différents aspects non financiers.

Cela dit, je pense que la présente tribune m’offre une belle occasion de mieux présenter le volet intégrité et sécurité du mandat du BSIF. Je vais donc utiliser le temps qu’il me reste pour répondre à la question suivante :

Comment les institutions financières fédérales devraient‑elles interpréter la ligne directrice sur l’intégrité et la sécurité, et à quoi devraient‑elles s’attendre de la part du BSIF?

Miser sur une gouvernance qui s’est révélée robuste par le passé ainsi que sur une approche fondée sur des principes

Si l’on se penche objectivement sur la performance du système financier canadien au cours du présent siècle, je crois qu’on peut conclure qu’il a une performance bien supérieure à d’autres en ce qui concerne la résilience et la stabilité financière. Les faillites d’institutions sont assez rares, et notre système financier a traversé des périodes d’incertitude financière marquée ou même grave sans connaître de perturbations importantes. Il s’agit d’un excellent bilan, qui aide à définir l’approche du BSIF dans le contexte de sa ligne directrice sur l’intégrité et la sécurité.

À mon avis, la résilience de notre système financier repose sur deux facteurs fondamentaux. Premièrement, les institutions financières fédérales du Canada ont pu tirer parti de la gouvernance rigoureuse exercée par leur conseil d’administration. Et deuxièmement, l’approche réglementaire fondée sur des principes qui est en vigueur au pays a permis au BSIF de se doter d’un ensemble de lignes directrices réglementaires à la fois souples, adaptables et axées sur la collaboration.

Le BSIF va donc interpréter la nouvelle ligne directrice sur l’intégrité et la sécurité en tenant bien compte de ces deux facteurs clés. Plus précisément, l’approche du BSIF reposera sur trois stratégies de portée générale :

1. La ligne directrice du BSIF sur l’intégrité et la sécurité s’appuiera sur la participation active et la gestion responsable des conseils d’administration.
2. Le BSIF axera ses efforts de surveillance sur des principes et des résultats comme l’énonce sa ligne directrice sur l’intégrité et la sécurité.
3. Il appartiendra aux conseils d’administration, et non au BSIF, de définir les bons principes et les bons résultats en matière d’intégrité et de sécurité pour leurs institutions.

L’intégrité et la sécurité reposent sur la participation active et la gestion responsable des conseils d’administration

Au début du siècle, les institutions financières canadiennes, surtout les plus grandes, ont lancé la tendance – suivie mondialement – consistant à séparer les fonctions du président du conseil d’administration et celles du chef de la direction. Si cela semble aller de soi de nos jours, n’oublions pas que cette séparation des pouvoirs résulte uniquement du désir de ces institutions de rendre leurs pratiques de gouvernance plus efficaces.

Malgré l’incertitude et la volatilité observées au cours des 25 dernières années, les institutions financières fédérales du pays se sont montrées plus résilientes que bon nombre de leurs homologues étrangers, que ce soit sur le plan des fonds propres ou de la liquidité, ou encore face aux risques non financiers. Ces résultats, soit une gouvernance d’entreprise efficace et une résilience hors du commun, ne sont pas le fruit du hasard. Les conseils d’administration canadiens méritent des éloges!

Au BSIF, nous comptons sur le fait que les conseils d’administration jouent ce rôle important de gestionnaires responsables et éclairés, prêts à protéger les valeurs de franchise de leur institution, surtout lorsque les risques s’accentuent. Nous allons compter plus que jamais sur les conseils d’administration dans l’exercice de notre mandat en matière d’intégrité et de sécurité.

Comme je l’ai déjà dit, la ligne directrice sur l’intégrité et la sécurité réunit de nombreuses lignes directrices essentielles sur le risque non financier en une seule ligne directrice exhaustive et globale. Le BSIF a donc fait en sorte d’élever au niveau du conseil d’administration la gestion responsable entourant l’intégrité et de la sécurité. Nous nous attendons à ce que les conseils d’administration examinent en détail leur surveillance des risques non financiers et qu’ils en fassent la synthèse sous forme d’approche organisationnelle afin de protéger leurs institutions contre les menaces à leur intégrité et leur sécurité. Ces activités gagneront en visibilité et feront l’objet d’une surveillance accrue, mais nous estimons que ce que nous demandons aux conseils d’administration n’a rien de nouveau et que les actionnaires attendent déjà d’eux qu’ils accomplissent ces tâches.

Le BSIF axera ses efforts de surveillance sur des principes et des résultats comme l’énonce sa ligne directrice sur l’intégrité et la sécurité

Notre ligne directrice repose sur deux grands résultats et dix principes de portée générale.

Pour chaque principe, nous énonçons un résultat attendu dans la perspective de l’intégrité et de la sécurité.

En matière d’intégrité, nous nous attendons des conseils d’administration qu’ils donnent à leur direction le mandat de prendre des mesures, d’adopter des comportements et de prendre des décisions qui respectent la lettre et l’esprit des attentes sur le plan de la réglementation ainsi que des lois et de leurs propres codes de conduite.

En matière de sécurité, nous nous attendons des conseils d’administration qu’ils veillent à ce que les activités, les locaux, les personnes, les actifs technologiques ainsi que les données et l’information de leur institution soient résilients et protégés contre les menaces.

Nous avons aussi énoncé dix principes clés que les conseils d’administration devraient respecter :

Principe 1 – Moralité

Les responsables et les dirigeants sont de bonne moralité et font preuve d’intégrité par leurs actions, leurs comportements et leurs décisions.

Principe 2 – Culture

Une culture qui défend l’intégrité est délibérément façonnée, évaluée et préservée.

Principe 3 – Gouvernance

En vertu des structures de gouvernance, les actions, les comportements et les décisions font l’objet d’un examen attentif et d’une remise en question.

Principe 4 – Conformité

Il existe des mécanismes efficaces permettant de déterminer et de vérifier la conformité aux attentes réglementaires, aux lois et aux codes de conduite.

Principe 5 – Locaux

Les locaux sont sûrs et sécurisés et font l’objet d’un contrôle adéquat.

Principe 6 – Personnes

Il faut procéder à une vérification appropriée des antécédents des personnes, et mettre en place des stratégies pour bien gérer le risque.

Principe 7 – Actifs technologiques

Il faut sécuriser les actifs technologiques, déceler leurs faiblesses et les corriger, mettre en place des mécanismes de défense efficaces et recenser les problèmes rapidement et avec exactitude.

Principe 8 – Données et information

Il faut soumettre les données et l’information à des normes et des contrôles adéquats afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.

Principe 9 – Risque lié aux tiers

Il faut soumettre les tiers à des évaluations équivalentes et proportionnelles afin de se protéger des menaces.

Principe 10 – Influence indue, ingérence étrangère et activités malveillantes

Les menaces découlant de la suspicion d’une influence indue, d’une ingérence étrangère et d’activités malveillantes doivent être détectées et signalées rapidement.

Il appartiendra aux conseils d’administration, et non au BSIF, de définir les bons principes et les bons résultats en matière d’intégrité et de sécurité pour leurs institutions

Depuis la publication de notre ligne directrice sur l’intégrité et la sécurité, un mème indiquant à tort que le BSIF réglementait la culture et les valeurs de base des institutions a circulé. Je suis en désaccord avec cette affirmation, et je considère que le résumé de la ligne directrice que je viens de vous faire suffit à la réfuter.

En ce qui concerne la culture, nous n’énonçons aucune attente liée à des valeurs culturelles des institutions que nous réglementons. Au contraire, nous estimons que la culture d’une institution est le fruit de son histoire, de son secteur d’activité, de sa direction, de sa gouvernance et de l’expérience qu’elle a acquise. Je tiens à insister sur ce point : la culture d’une institution n’est pas le produit du point de vue ou des opinions de l’organisme qui la réglemente. Notre ligne directrice demande simplement que le conseil d’administration définisse la culture propre à son institution ainsi que les valeurs sous‑jacentes, puis qu’il agisse de façon délibérée afin de les façonner, de les évaluer et de les maintenir en place.

Nous observons cette même approche dans nos consignes relatives à la moralité et aux personnes. Nous demandons au conseil d’administration des institutions de déterminer le sens de ces termes pour leur organisation, puis de prendre des mesures décisives pour s’assurer que la direction se conforme aux principes en question.

Conclusion

J’espère être parvenu à convaincre chacun et chacune de vous que l’ajout des concepts d’intégrité et de sécurité au mandat du BSIF est une autre étape naturelle du processus d’évolution du système financier canadien. Plus important encore, j’ose croire que chacun et chacune d’entre vous aura davantage le sentiment que notre approche face à ce changement de notre mandat concorde avec notre approche traditionnelle fondée sur des principes, et qu’elle reflète notre volonté de poser les gestes qui s’imposent.

Je m’en voudrais de ne pas mentionner que nous avons publié une nouvelle ligne directrice qui impose aux conseils d’administration et aux équipes de direction un certain poids réglementaire. Nous ferons tout ce que nous pouvons pour limiter le plus possible le fardeau qui en découle.

Je pense que l’ajout d’un volet d’intégrité et de sécurité à notre mandat, en complément de notre volet traditionnel axé sur la bonne santé financière, nous offre l’occasion de jeter un regard critique sur l’ensemble des lignes directrices du BSIF. Nous avons publié de nombreuses lignes directrices au fil des ans, et il serait à propos selon moi de nous demander si chacune de ces lignes directrices cadre avec l’un ou l’autre de ces deux volets de notre mandat – la santé financière, ou l’intégrité et la sécurité. Si nous concluons que certaines lignes directrices ne correspondent à ni l’un ni l’autre de ces volets, il faudra alors les soumettre à un examen plus poussé, en quelque sorte à des fins d’élagage, afin de chercher des possibilités d’alléger le fardeau réglementaire. Je compte bien entamer bientôt des discussions sectorielles à ce sujet.