L’Organisme canadien de réglementation du commerce des valeurs
mobilières (OCRCVM) est l’organisme d’autoréglementation (OAR) national qui
surveille l’ensemble des courtiers en placement et des opérations effectuées
sur les marchés des titres de capitaux propres et des titres de créance au
Canada.
L’OCRCVM est
reconnu à titre d’OAR par l’Alberta Securities Commission (ASC), l’Autorité des
marchés financiers (l’« Autorité »), la British Columbia Securities Commission
(BCSC), la Financial and Consumer Affairs Authority of Saskatchewan (FCAA), la
Commission des services financiers et des services aux consommateurs du
Nouveau-Brunswick, la Commission des valeurs mobilières du Manitoba (CVMM), la
Nova Scotia Securities Commission (NSSC), l’Office of the Superintendent of
Securities, Service Newfoundland and Labrador (Terre-Neuve-et-Labrador), la
Commission des valeurs mobilières de l’Ontario (CVMO) et l’Office of the
Superintendent of Securities de l’Île-du-Prince-Édouard (collectivement, les «
autorités de reconnaissance » ou les « AR »). Il a son siège à
Toronto et des bureaux régionaux à Montréal, à Calgary et à Vancouver.
La présente inspection a été menée conjointement par le personnel
des autorités de reconnaissance suivantes (le « personnel des AR ») : l’ASC,
l’Autorité, la BCSC, la FCAA, la CVMM, la NSSC et la CVMO.
Le présent rapport expose en détail les objectifs, la méthodologie,
le cadre de référence, la forme du rapport, la portée, l’évaluation globale et
les constatations de l’inspection couvrant la période du 1er avril 2015
au 31 juillet 2016 (la « période d’inspection »).
L’objectif de l’inspection était d’évaluer, d’une part, si certains
processus réglementaires clés étaient efficaces, efficients et appliqués de
manière cohérente et équitable, et, d’autre part, si l’OCRCVM respectait les
conditions des décisions de reconnaissance des autorités de reconnaissance.
Les autorités de reconnaissance ont adopté une méthodologie fondée
sur le risque pour déterminer l’étendue de l’inspection. Chaque année, elles :
•
évaluent les risques inhérents à chaque secteur
fonctionnel ou processus clé sur la base de ce qui suit :
o la documentation interne de l’OCRCVM (y compris les auto-évaluations
de la direction et les évaluations des risques);
o les renseignements obtenus de l’OCRCVM dans le cours normal des
activités de supervision (dépôts périodiques, discussions avec le personnel des
AR);
o l’étendue et la priorisation des constatations de l’inspection
précédente;
o l’incidence des événements ou des changements importants touchant
les marchés et les participants d’un secteur en particulier;
•
évaluent les contrôles connus de chaque secteur
fonctionnel;
•
tiennent compte des facteurs situationnels ou
externes pertinents et de l’incidence des risques touchant l’OCRCVM sur
l’organisation dans son ensemble ou plusieurs de ses services;
•
attribuent une cote globale de risque initiale
pour chaque secteur;
•
tiennent des discussions avec l’OCRCVM afin de
repérer les autres contrôles d’atténuation qui peuvent être en place dans
certains secteurs fonctionnels et d’en évaluer l’efficacité;
•
attribuent une cote globale de risque rajustée
pour chaque secteur;
•
établissent l’étendue de l’inspection d’après
les cotes de risque rajustées.
3.
Cadre de référence
La dernière inspection de l’OCRCVM réalisée par le personnel des AR remonte
à 2015. Par suite de cette
inspection, le personnel des AR a publié le 3 mars 2016 un rapport
(le « rapport d’inspection 2015 ») qui présentait un certain
nombre de constatations concernant la réglementation, particulièrement dans le Service
de la mise en application, où il avait relevé deux constatations fréquentes de
priorité élevée. Le rapport d’inspection 2015
contenait également les plans d’action décrits par l’OCRCVM qui étaient
applicables pour donner suite aux constatations ainsi que leurs calendriers de
mise en œuvre. Le personnel des AR les a examinés et approuvés, et en a fait le
suivi dans le cours normal de ses activités de supervision.
Depuis la dernière inspection, l’OCRCVM s’est doté d’un nouveau plan
stratégique triennal pour guider et façonner sa démarche réglementaire en vue
de s’acquitter de son mandat de protection des investisseurs et de promotion de
marchés financiers sains au Canada. Dans le cadre du processus d’évaluation des risques, le
personnel des AR a cerné les tendances clés suivantes de même que leurs implications
pour l’OCRCVM en tant qu’organisme et pour les secteurs et processus
fonctionnels concernés :
4.
Forme du rapport
Conformément à la méthodologie fondée sur le risque adoptée, le
présent rapport met l’accent sur les secteurs fonctionnels ou les processus
clés qui nécessitent des mesures correctives. Bien que chaque constatation requière une réponse de la part
de l’OCRCVM et une description des mesures correctives à prendre, ces
constatations n’ont pas toutes été faites dans chacun des bureaux régionaux où
une fonction ou un processus particulier de l’OCRCVM a été échantillonné aux fins
d’inspection. Toutefois, s’il y a lieu, le personnel des
AR exige que l’OCRCVM prenne des mesures correctives qui assureront la
cohérence de son approche à l’échelle pancanadienne.
Dans le cadre du processus d’évaluation des risques, compte tenu de
l’état d’avancement des mesures donnant suite aux constatations du rapport
d’inspection précédent et vu les enjeux susceptibles de se répercuter sur
l’OCRCVM, le personnel des AR a déterminé que l’inspection porterait sur
certains processus et activités[1] relevant des secteurs à risque supérieur à la moyenne suivants :
Risque supérieur à la moyenne
En outre, dans le cadre du processus
d’évaluation des risques, le personnel des AR a établi que les secteurs à
risque modéré et à risque faible suivants ne seraient pas visés par la présente
inspection :
Risque modéré
Risque faible
Le personnel des AR a classé les constatations par ordre de
priorité, soit élevée, moyenne et faible, en fonction des critères suivants :
|
Élevée
|
Le personnel des AR soulève un problème qui, s’il n’est pas réglé,
fera que l’OCRCVM ne s’acquittera pas de son mandat, ou encore ne respectera
pas une ou plusieurs conditions de ses décisions de reconnaissance, ou les
obligations réglementaires applicables. Pour
donner suite à la constatation, l’OCRCVM doit
immédiatement se doter d'un plan d’action (accompagné de documents justificatifs)
et proposer un calendrier de mise en œuvre que le personnel des AR juge
acceptables. Au besoin, il devrait mettre en œuvre des contrôles
compensatoires avant de prendre des mesures correctives. Il doit aussi faire régulièrement rapport de ses progrès
au personnel des AR.
|
|
Moyenne
|
Le personnel des AR soulève un problème qui, s’il n’est pas réglé,
risque de créer une incompatibilité avec le mandat de l’OCRCVM, ou encore
avec une ou plusieurs conditions de ses décisions de reconnaissance, ou les
obligations réglementaires applicables. Pour donner suite à la constatation,
l’OCRCVM doit se doter d'un plan d’action (accompagné de documents justificatifs)
et proposer un calendrier de mise en œuvre que le personnel des AR juge
acceptables. Au besoin, il devrait mettre en œuvre des contrôles
compensatoires avant de prendre des mesures correctives. Il doit aussi faire régulièrement rapport de ses progrès au
personnel des AR.
|
|
Faible
|
Le personnel des AR a repéré un problème nécessitant une
amélioration des processus ou des contrôles de l’OCRCVM, et il en fait part à
la direction de l’OCRCVM pour qu’il le règle.
|
|
Constatation fréquente
|
Une constatation du personnel des AR à laquelle l’OCRCVM n’aura
pas donné suite sera considérée comme une constatation fréquente dans le
rapport et pourrait se voir attribuer un ordre de priorité plus élevé que
dans le rapport antérieur.
|
Dans deux secteurs fonctionnels distincts, l’OCRCVM n’a pas réalisé
assez de progrès dans la résolution des problèmes particuliers présentés dans
le rapport d’inspection 2015. Le
personnel des AR a relevé la répétition d’une constatation dans le Service de la conformité de la conduite des affaires (SCCA),
où l’OCRCVM avait omis d’apporter les modifications nécessaires à ses
programmes d’inspection, bien qu’il ait précédemment affirmé le contraire. Celui-ci
a attribué à cette constatation la priorité élevée. Il
a aussi noté que l’OCRCVM n’avait pas remis à un comité du
conseil d’administration le rapport trimestriel sur le programme de sécurité de
l’information qu’il s’était engagé à lui remettre dans sa réponse au rapport
d’inspection 2015. Il a attribué à cette constatation la priorité moyenne. Par ailleurs, le personnel des AR
reconnaît que l’OCRCVM a réalisé des progrès satisfaisants dans la résolution
d’autres enjeux exposés dans le rapport d’inspection 2015. Il
a également fait d’autres constatations de priorité moyenne dans les services
de la mise en application (deux constatations), des technologies de
l’information (une constatation) et de la conformité de la conduite des
affaires (une constatation). Finalement, il n’a relevé qu’une constatation de priorité faible dans le Service de surveillance du marché (titres de
capitaux propres et titres de créance), et n’en a relevé aucune dans le Service
d’examen et d’analyse des opérations. Il s’attend à ce
que l’OCRCVM donne suite aux constatations et il continuera de suivre les
progrès réalisés par ce dernier pour apporter rapidement des mesures
correctives précises, selon l’ordre de priorité indiqué.
Les constatations figurent sous la rubrique Travail sur le
terrain et constatations. Hormis
ces constatations, le personnel des AR n’a aucune préoccupation concernant le
respect, par l’OCRCVM, des conditions des décisions de reconnaissance dans les
secteurs visés. Par ailleurs, il ne fait aucun
commentaire et ne tire aucune conclusion quant aux activités de l’OCRCVM débordant
du cadre de l’inspection.
A.
Conformité de la conduite des affaires
|
Conformément à la condition 8b des décisions de reconnaissance,
l’OCRCVM doit administrer ses règles et veiller à l’observation de celles-ci
et de la législation en valeurs mobilières par les courtiers membres et les
autres personnes sous sa compétence, y compris les systèmes de négociation
parallèles (SNP).
Le personnel du SCCA surveille la conformité des courtiers membres
à toutes les obligations réglementaires non financières. Par exemple, en réalisant des inspections
sur le terrain, il évalue leur conformité aux obligations relatives à la
convenance des placements au client, à la documentation d’ouverture de
compte, à la supervision i) des conseillers, ii) des autres
membres du personnel et iii) des établissements, aux opérations à
titre personnel et aux activités professionnelles externes. Selon le modèle d’entreprise du courtier
membre, il peut évaluer ses activités de financement d’entreprise et d’autres
activités particulières, dont les comptes gérés.
Le rapport d’inspection 2015 faisait état de deux constatations de
priorité moyenne : i) les procédures d’inspection du SCCA
n’offraient pas un encadrement suffisant pour examiner les comptes gérés de
clients et ii) le processus prévu pour approuver et mettre à jour le
document sur les autorisations internes et la délégation de fonctions et de
pouvoirs (c’est-à-dire la liste des approbations) était inadéquat. Depuis, l’évolution du profil démographique
des investisseurs et de la réglementation canadienne des valeurs mobilières a
obligé l’OCRCVM à réévaluer stratégiquement l’efficacité des approches
réglementaires et les répercussions sur les ressources limitées.
Par conséquent, le personnel des AR a axé son inspection sur ce
qui suit :
•
le suivi de la mise en œuvre des procédures
d’inspection visant à évaluer la conformité avec les obligations suivantes de
la législation en valeurs mobilières : i) les obligations
relatives aux pratiques commerciales des courtiers prévues par le Règlement
81-105 sur les pratiques commerciales des organismes de placement collectif
(le « Règlement 81-105 ») et ii) les obligations de
meilleure exécution à l’égard des comptes gérés de
clients;
•
l’évaluation de l’adéquation de la ou des procédures
suivies par le SCCA pour traiter les constatations fréquentes (par exemple, les
plans d’action, le transfert du dossier au Service de la mise en application,
etc.);
Le personnel des AR a inspecté ce qui suit :
Le personnel des AR considère que l’OCRCVM a trouvé des solutions
convenables à la constatation relative à la liste des approbations citée dans
le rapport d’inspection 2015. L’OCRCVM n’a cependant pas donné suite à l’autre
constatation qui y était présentée quant à l’adéquation des procédures d’inspection servant à évaluer la
convenance pour les comptes gérés. Comme l’OCRCVM avait décrit, dans sa réponse au rapport
d’inspection 2015, des étapes indiquant qu’il avait remédié à cette
situation, le personnel des AR considère qu’il s’agit d’une répétition de
cette constatation. De plus, l’OCRCVM n’a pas mis en œuvre
de procédures permettant d’évaluer la conformité des courtiers membres au
Règlement 81‑105 tel qu’il l’avait convenu avec le personnel des AR. Son
non-respect des engagements ci-dessus est préoccupant.
Une nouvelle constatation de priorité moyenne ayant trait aux définitions des lacunes dans les rapports est également exposée ci-après.
Qui plus est, à l’issue de son évaluation de la nouvelle
méthodologie de l’OCRCVM fondée sur le risque, le personnel des AR reconnaît
que ce dernier a fourni de meilleures indications aux inspecteurs et clarifié
les procédures qu’ils doivent suivre. À mesure que d’autres examens de la conformité seront
réalisés, le personnel des AR s’attend à ce que l’OCRCVM peaufine ces procédures
et offre aux inspecteurs davantage de formation précise pour qu’ils puissent
mesurer adéquatement l’engagement global des courtiers membres envers la
conformité. Plus particulièrement, comme le personnel du SCCA a eu de la difficulté par le passé à s’assurer que certains
courtiers membres corrigent rapidement les lacunes relevées, l’OCRCVM devrait
prendre des mesures réglementaires (c’est-à-dire, transférer le dossier au
Service de la mise en application, imposer des conditions) de sorte que la
situation ne perdure pas.
Le personnel des AR prend également acte du fait que les nouvelles
Règles consolidées de mise en application, d’examen et d’autorisation
de l’OCRCVM qui se rapportent aux autorisations d’inscription (y compris le
pouvoir d’imposer des conditions aux courtiers membres) sont entrées en
vigueur le 1er septembre 2016. Il pourrait s’agir d’un outil important pour
obtenir des résultats réglementaires adéquats, et l’OCRCVM devrait l’utiliser
au besoin, surtout à l’égard des courtiers membres présentant des lacunes
fréquentes ou importantes afin que ces dernières soient rapidement corrigées.
Finalement, durant la période d’inspection, l’OCRCVM a mis en œuvre
des procédures ponctuelles en matière de meilleure exécution à l’intention de
certains courtiers membres qui gèrent des fonds, et instauré un programme de
formation du personnel sur les obligations propres à l’entreprise. À l’issue de sa révision interne des quelques
dossiers d’inspection à l’égard desquels ces procédures étaient en place, ainsi
que de son étude visant à rationaliser les modules d’inspection, l’OCRCVM a
récemment décidé que son Service de la conformité de la conduite de la
négociation (SCCN) se chargera des procédures en matière de meilleure
exécution. Il devrait donc former le personnel du
SCCN en conséquence et mettre en œuvre des procédures adéquates pour évaluer
la conformité des courtiers membres concernés à leurs obligations de
meilleure exécution, ce qui comprendra une inspection de tous les secteurs
d’activité (par exemple, les comptes gérés).
|
|
1)
Constatation : Omission d’apporter des modifications aux programmes d’inspection
du SCCA dans les délais
Comme nous l’avons mentionné ci-dessus, l’OCRCVM ne disposait pas
de processus assurant la mise en œuvre des procédures d’inspection
importantes suivantes, même si des calendriers avaient été convenus à cet
égard avec le personnel des AR :
•
Modifications
des procédures d’inspection relatives à l’évaluation de la convenance dans
les comptes gérés de clients – la même constatation avait été initialement
faite dans le rapport d’inspection 2015, et,
dans sa réponse, l’OCRCVM avait déclaré avoir apporté en conséquence un
certain nombre de modifications qu’il avait ensuite décrites en détail. Toutefois,
au début de son inspection 2016, le personnel des AR a confirmé que les modifications
en question n’avaient pas été intégrées dans les modules d’inspection applicables.
Le personnel des AR précise que les procédures révisées ont été mises en œuvre
en octobre 2016, soit huit mois après que l’OCRCVM a initialement indiqué avoir
apporté les modifications.
•
Nouvelles
procédures d’inspection pour évaluer la conformité des courtiers membres à
certains aspects du Règlement 81-105 – au début de l’inspection, le personnel
des AR a été informé du fait que les procédures n’avaient pas été mises en œuvre
comme convenu le 30 juin 2016 et qu’elles n’avaient même pas été conçues à ce
moment-là. Il a ultérieurement appris que des procédures révisées avaient été
mises en œuvre en février 2017, soit plus de sept mois après.
Les dirigeants actuels de l’OCRCVM ignoraient que les procédures
n’avaient pas été mises en œuvre dans les délais convenus. L’OCRCVM devrait
dorénavant examiner ses processus de surveillance et de résolution des problèmes
ainsi que de suivi du flux de travail requis, en plus d’évaluer leur
efficacité.
|
|
Implications/risques
|
Si l’OCRCVM omet de prendre des mesures correctives et ne suit pas
ni ne gère les processus de résolution des problèmes relevés tel qu’il l’a déclaré
et en a convenu, il risque de ne pas respecter l’une des conditions de ses
décisions de reconnaissance, ou les obligations réglementaires applicables.
|
|
Priorité
|
Élevée
|
|
Exigence
|
Veuillez décrire le plan d’action qu’adoptera l’OCRCVM pour donner
suite à cette constatation, en prenant soin d’indiquer le calendrier de mise
en œuvre.
|
|
Réponse de
l’OCRCVM
|
Nous
prenons acte de la constatation, qui découlait en grande partie d’un
changement au sein de la gestion du SCCA à ce moment-là. Nous instituerons un
processus par lequel le Bureau de l’avocat général devra être informé des
travaux réalisés (nouveaux processus ou procédures) en vue de donner suite
aux problèmes relevés dans les rapports d’inspection des ACVM et par d’autres
secteurs de l’OCRCVM (par exemple, dans les rapports d’audit interne) avant
que la situation ne soit considérée comme corrigée.
|
|
Commentaires du
personnel des AR et suivi
|
Le personnel
des AR se réjouit que l’OCRCVM institue un processus centralisé par lequel le
Bureau de l’avocat général gérera le suivi et la résolution des problèmes soulevés
dans les rapports d’inspection des ACVM. Il s’attend à ce que le nouveau
processus soit en place d’ici le 30 septembre 2017 et à ce que le
Bureau de l’avocat général surveille et suive la résolution des autres
problèmes relevés (par exemple, dans les rapports d’audit
interne), et
fasse rapport sur l’efficacité du nouveau processus au plus tard le 31 mars 2018.
|
|
2) Constatation : Incapacité de corriger les irrégularités
relevées dans les rapports, en partie à cause de l’absence d’orientations et
de définitions
Le personnel du SCCA a eu de la difficulté à s’assurer que
certains courtiers membres corrigent rapidement les irrégularités fréquentes
ou importantes relevées. Cette situation est en
partie attribuable à l’absence d’orientations écrites permettant au personnel
du SCCA de classer les
constatations dans les rapports d’inspection ou de définir ce qui constitue
une constatation i)
fréquente, ii) importante, iii) fréquente importante ou iv) autre, et ce qui constitue
des mesures réglementaires adéquates prises par les courtiers membres.
|
|
Implications/risques
|
En l’absence d’orientations ou de
définitions, les constatations risquent de ne pas être classées de manière uniforme
dans les divers rapports d’inspection, de sorte que, particulièrement dans le
cas des courtiers membres problématiques, les résultats réglementaires
souhaités et adéquats pourraient ne pas être atteints et priorisés comme il
se doit.
|
|
Priorité
|
Moyenne
|
|
Exigence
|
Veuillez décrire le plan d’action qu’adoptera l’OCRCVM pour donner
suite à cette constatation, en prenant soin d’indiquer le calendrier de mise
en œuvre.
|
|
Réponse de
l’OCRCVM
|
Nous prenons
acte de la constatation.
Le SCCA met sur
pied un groupe de travail chargé d’élaborer des orientations qui faciliteront
le classement des constatations dans les catégories « fréquente », « importante »,
« fréquente importante » ou « autre ». Ces orientations devraient
être prêtes d’ici la fin de septembre 2017.
Entre autres
initiatives stratégiques, nous sommes aussi en train de rédiger des orientations
définissant un cadre analytique qui aidera le personnel à décider si un
dossier de conformité devrait être transféré au Service de la mise en
application. Il s’agira notamment de déterminer les cas dans lesquels une
irrégularité sera considérée comme n’ayant pas été adéquatement corrigée par
le courtier membre.
Ces deux
documents d’orientation internes aideront le personnel à acquérir une
compréhension plus uniforme du mode de classement des constatations découlant
des inspections ainsi que des cas dans lesquels la nature de la constatation
ou de la non-conformité justifiera le transfert du dossier au Service de la
mise en application.
|
|
Commentaires du personnel
des AR et suivi
|
Le personnel
des AR prend acte du fait que l’OCRCVM élabore un cadre analytique et des
documents d’orientation internes. D’ici le 30 septembre 2017, il
s’attend, d’une part, à ce que l’OCRCVM fasse le point sur l’élaboration
d’orientations définissant un cadre analytique et, d’autre part, à ce qu’il se
soit doté d’orientations internes pour le classement des constatations (y
compris d’un programme de formation à l’intention des membres de son
personnel concernés). De plus, l’OCRCVM devrait surveiller les progrès
réalisés à cet égard et l’efficacité de ces orientations, et en faire
rapport d’ici le 31 mars 2018.
|
B.
Mise en application
|
Conformément à la condition 8 des décisions de reconnaissance,
l’OCRCVM doit veiller à l’observation de ses règles par les courtiers
membres, les SNP, les personnes inscrites et les autres personnes sous sa
compétence.
Le personnel de la mise en application de l’OCRCVM s’acquitte de
ses responsabilités de réglementation de trois manières :
o l’évaluation des dossiers
o les enquêtes
o les litiges
Le groupe chargé de traiter les plaintes et les demandes de
renseignements des clients est indépendant du Service de la mise en
application, bien que son directeur soit également celui du Service
d’évaluation des dossiers.
Les principales responsabilités du personnel de la mise en
application sont les suivantes :
Le rapport d’inspection 2015 contenait deux constatations de
priorité élevée liées i) à la gestion de l’accès au système de gestion
des dossiers de mise en application et ii) à l’application non
uniforme des normes de tenue de dossiers, ainsi que deux constatations de
priorité moyenne, à savoir : i) l’absence de politiques et de
procédures d’évaluation des dossiers de conduite sur les marchés et ii)
l’absence d’un mécanisme indépendant d’examen et d’approbation pour les
dossiers de conduite sur les marchés. Depuis,
comme les modèles d’entreprise des courtiers membres ont changé en raison de
l’évolution du profil démographique des investisseurs, le personnel des AR était
d’avis qu’il serait prudent d’examiner aussi les approches réglementaires de
l’OCRCVM pour qu’une protection efficace des
investisseurs demeure atteignable.
Par conséquent, le personnel des AR a axé son inspection sur ce
qui suit :
Le personnel des
AR a inspecté ce qui suit :
Le personnel des AR considère que l’OCRCVM a réalisé des progrès
adéquats dans la prise de mesures pour donner suite aux constatations figurant
dans le rapport d’inspection 2015. Toutefois,
il a fait deux nouvelles constations de priorité moyenne se rapportant i) au transfert de dossiers au Service de la mise en
application et ii) à l’absence d’un processus centralisé assurant une
vision globale des courtiers membres aux fins de la mise en application.
|
|
1) Constatation : Processus inadéquat – Rencontre avec le personnel de la mise en application de l’OCRCVM avant le transfert
du dossier
L’OCRCVM a établi de nombreux processus de mise en application pour
s’acquitter de ses responsabilités. Le personnel des AR a examiné l’un de ces processus consistant
en la tenue d’une rencontre entre le personnel de la mise en application et
celui de la conformité pour discuter des principales irrégularités citées par
le personnel de la conformité dans le rapport d’inspection du courtier membre.
Cette rencontre a lieu avant le transfert écrit du dossier par le personnel
de la conformité au personnel de la mise en application. Toutefois, lors de
l’inspection, le personnel des AR a appris ce qui suit :
•
aucun
procès-verbal ni sommaire de la rencontre avant le transfert du dossier
n’était tenu;
•
même
s’il existait des critères de sélection des dossiers établis dans d’autres
secteurs de la mise en application, aucune orientation écrite n’avait encore été
élaborée à l’intention du personnel de la mise en application assistant aux
rencontres avant le transfert du dossier pour l’aider à déterminer les irrégularités
en matière de conformité à prioriser et à analyser si le dossier lui était
transféré.
Par conséquent, il n’était pas évident de savoir pourquoi
certaines irrégularités en matière de conformité abordées lors d’une telle
rencontre n’ont pas abouti au Service de la mise en application.
|
|
Implications/risques
|
En l’absence de procès-verbaux et de sommaires des rencontres
avant le transfert du dossier ainsi que d’indications et de critères écrits
pour leur tenue, le processus de transfert pourrait être inefficace et incohérent.
Le Service de la mise en application pourrait donc ne pas donner suite aux irrégularités
importantes, particulièrement dans le cas des courtiers membres présentant
des problèmes multiples.
|
|
Priorité
|
Moyenne
|
|
Exigence
|
Veuillez
décrire le plan d’action qu’adoptera l’OCRCVM pour donner suite à cette
constatation, en prenant soin d’indiquer le calendrier de mise en œuvre.
|
|
Réponse de l’OCRCVM
|
Nous
prenons acte de la constatation.
Même si ces
rencontres se veulent quelque peu informelles, nous reconnaissons
l’importance de tenir un sommaire des discussions qui y ont lieu. Comme ces
rencontres sont organisées à la demande du personnel de la conformité qui a
le dossier en mains, le Service de la mise en application consignera
désormais les conclusions de toute pareille rencontre planifiée.
Quant à
l’élaboration d’orientations sur le transfert de dossiers au Service de la
mise en application, cette question est déjà traitée dans notre plan
stratégique (2017-2019). En effet, ce dernier prévoit parmi les principales
mesures de mise en application le renforcement du processus de transfert de
dossiers
de la
Conformité à la Mise en application, ce qui impliquera un examen du processus
actuel et l’élaboration d’un cadre pour
aider les
groupes de la conformité à décider si un dossier doit être transféré à la
Mise en application.
|
|
Commentaires du
personnel des AR et suivi
|
Le personnel
des AR prend acte du fait que le personnel de l’OCRCVM consignera dorénavant
les conclusions de toute rencontre planifiée tenue avant le transfert du
dossier. Il s’attend à ce que tout autre renseignement important qui a étayé
une conclusion soit également résumé. De plus, il s’attend à ce que, d’ici le
30 septembre 2017, l’exigence écrite soit en place et à ce que l’OCRCVM
fasse le point sur l’élaboration du cadre en question. Enfin, il s’attend à
ce que l’OCRCVM surveille les progrès réalisés à son égard et fasse rapport
sur son efficacité d’ici le 31 mars 2018.
|
|
2) Constatation : Processus de mise en application
inadéquat – Vision globale des courtiers membres
En discutant avec le personnel de la mise en application de l’OCRCVM,
le personnel des AR a constaté l’absence d’une obligation formelle ou d’un processus
central assurant une vision globale des courtiers membres (y compris les
antécédents de mesures de mise en application prises à l’encontre de chacun
d’entre eux). Or, un tel
processus donnerait au personnel de la mise en application des indications
sur la meilleure façon de traiter les courtiers membres présentant des
problèmes multiples de sorte que ces derniers ne perdurent pas.
|
|
Implications/risques
|
En l’absence d’une vision globale du courtier membre, les
problèmes peuvent être évalués individuellement, mais non collectivement, de
sorte que le Service de la mise en application pourrait ne pas prendre les
mesures adéquates à l’encontre des courtiers membres ayant des antécédents de
non-conformité.
|
|
Priorité
|
Moyenne
|
|
Exigence
|
Veuillez décrire le plan d’action
qu’adoptera l’OCRCVM pour donner suite à cette constatation, en prenant soin
d’indiquer le calendrier de mise en œuvre.
|
|
Réponse de l’OCRVM
|
Nous
reconnaissons que nous ne possédons aucun processus officiel ou centralisé.
Néanmoins, le Service de la mise en application dispose de sources d’accès
variées à tous les renseignements pertinents à ses dossiers, dont les
antécédents de conformité d’une société, et en tient compte. Nous convenons
que des mesures supplémentaires peuvent être prises afin de mieux documenter
les efforts que déploie notre personnel pour s’assurer d’examiner l’ensemble
des circonstances pertinentes et d’intervenir rapidement dans les cas des
sociétés présentant des problèmes multiples. Notre personnel fera le
nécessaire pour que ces considérations soient adéquatement consignées dans
ses dossiers d’enquête. Il veillera aussi à tenir dûment compte des antécédents
de conformité réglementaire d’une société dans le cadre du nouveau processus
de transfert de dossiers au personnel de la mise en application. Nous
prévoyons que ces mesures supplémentaires seront en place d’ici la fin de
juillet 2017.
|
|
Commentaires du personnel des AR et suivi
|
Le personnel des AR se réjouit que l’OCRCVM mette en œuvre d’ici
le 31 juillet 2017 des mesures supplémentaires qui assureront à son
personnel de la mise en application une vision plus globale de la société
membre, et qui permettront d’examiner et de consigner tous les renseignements
pertinents au dossier, y compris les antécédents de conformité réglementaire.
Il s’attend à que l’OCRCVM surveille l’efficacité de ces mesures et en rende
compte d’ici le 31 mars 2018.
|
C.
Technologies de l’information
|
Conformément à la condition 11 des décisions de reconnaissance,
l’OCRCVM doit veiller à ce que ses systèmes technologiques essentiels i)
soient dotés de contrôles internes adéquats pour assurer l’intégrité et la
sécurité de l’information et ii) disposent d’une capacité adéquate. En
outre, il doit maintenir des contrôles permettant de gérer les risques
associés à ses activités.
Le Service des technologies de l’information (TI) de l’OCRCVM a la
responsabilité générale de la conception, de la maintenance, de la fourniture
et de la sécurité des applications et des systèmes technologiques dont l’OCRCVM
a besoin pour exercer ses activités d’exploitation et atteindre ses objectifs
stratégiques.
Le rapport d’inspection 2015 faisait état de trois constatations
de priorité moyenne, à savoir : i) l’insuffisance des processus
et de la consignation des décisions du conseil d’administration (le
« conseil ») liées à la sécurité de l’information, ii) des
lacunes dans les compétences, les capacités ou l’expertise des membres du
personnel et iii) le manque de détails dans les politiques et
procédures relatives à la sécurité de l’information. Comme l’OCRCVM a pris la décision stratégique
d’utiliser des outils technologiques pour mieux s’acquitter de ses
responsabilités réglementaires, il court un risque important de manquer des
ressources requises pour gérer les changements devant être apportés à son
infrastructure et aux contrôles connexes.
Par conséquent, le personnel des AR a axé son inspection sur ce
qui suit :
Le personnel a inspecté ce qui suit :
Durant la période d’inspection, l’OCRCVM a embauché du personnel possédant
des compétences spécialisées et lancé d’autres projets liés aux TI. En outre, il a progressé dans la prise de
mesures pour donner suite aux constatations présentées dans le rapport
d’inspection 2015.
Le personnel des AR fait deux constatations de priorité moyenne se
rapportant à ce qui suit : i) l’omission de remettre à temps les
rapports requis sur le programme de sécurité de l’information au Comité des
finances, de l’audit comptable et des risques et ii) l’utilisation
d’une méthodologie inadéquate pour les procédures de vérification des contrôles
liés aux TI.
|
|
1) Constatation : Omission de présenter à temps des
rapports sur le programme de sécurité de l’information au Comité des
finances, de l’audit comptable et des risques (CFACR)
Le personnel des AR reconnaît que l’OCRCVM dispose
de nombreux processus établis en vue de communiquer au moment opportun l’information
au sein de l’organisation. Toutefois, en faisant
le suivi des progrès de l’OCRCVM dans le traitement des constatations
présentées dans le rapport d’inspection 2015, il a
confirmé qu’un tableau de bord du rapport sur l’état d’avancement du
programme de sécurité de l’information n’avait pas été remis au CFACR chaque
trimestre, même si le conseil avait enjoint au personnel de l’OCRCVM de le faire selon ce qu’avait indiqué la
direction de l’organisme dans sa réponse à une constatation dans le rapport
d’inspection 2015. De plus, le personnel des AR a confirmé qu’il revenait aux unités ou aux services de surveiller
l’état d’avancement de leurs plans d’action connexes et que l’OCRCVM ne disposait pas de contrôles adéquats pour s’assurer que les
nouveaux processus, comme l’obligation de soumettre un rapport trimestriel au
conseil, avaient été mis en œuvre et fonctionnaient comme prévu.
|
|
Implications/risques
|
Un manque d’information au niveau des comités du conseil pourrait
se traduire par une surveillance inadéquate et la prise de décisions mal
éclairées au niveau du conseil. En outre, les problèmes sous-jacents pourraient persister en l’absence d’un processus
de surveillance des contrôles conçus pour régler les problèmes relevés. Cette
situation risque de nuire aux activités de l’OCRCVM, et,
si les problèmes ne sont pas réglés, ils pourraient entraîner un
manquement à une ou à plusieurs des conditions des décisions de
reconnaissance de l’OCRCVM ou aux obligations réglementaires applicables.
|
|
Priorité
|
Moyenne
|
|
Exigence
|
Veuillez
décrire le plan d’action qu’adoptera l’OCRCVM pour donner suite à cette
constatation, en prenant soin d’indiquer le calendrier de mise en œuvre.
|
|
Réponse de
l’OCRCVM
|
Le maintien
d’un niveau élevé de sécurité de l’information au sein de l’organisme et la
préparation de nos membres en matière de cybersécurité demeurent prioritaires
pour notre conseil et notre CFACR. Ces derniers sont pleinement informés de
la situation, des nouveautés et des améliorations en la matière. Des
renseignements et des rapports exhaustifs sur la sécurité de l’information leur
sont régulièrement fournis.
Bien que nous
convenions que le tableau de bord sur l’état d’avancement du programme de
sécurité de l’information visé par la constatation n’a pas été remis à toutes
les réunions trimestrielles du CFACR durant la période d’inspection
(puisqu’aucune nouvelle information importante n’avait surgi depuis la
publication des rapports antérieurs), ce comité et le conseil ont obtenu lors
de chacune de leurs réunions d’autres renseignements détaillés dressant un
bilan complet de l’état d’avancement des projets sur la sécurité de
l’information en cours à l’échelle de l’organisme.
Le tableau de
bord sur l’état d’avancement du programme de sécurité de l’information sera
désormais remis trimestriellement au CFACR, même si aucun fait nouveau
important n’est survenu depuis la publication du rapport antérieur.
|
|
Commentaires du
personnel des AR et suivi
|
Le personnel
des AR se réjouit que le conseil et le CFACR de l’OCRCVM continuent de
prioriser la sécurité de l’information de l’organisme et la préparation de ses
membres en matière de cybersécurité. Il s’attend à ce que l’OCRCVM consigne
dans le procès-verbal des réunions trimestrielles que le CFACR a reçu le tableau
de bord sur l’état d’avancement du programme de sécurité de l’information ainsi
que toute autre information pertinente aux discussions à son égard.
|
|
2) Constatation : Processus inadéquat – Méthodologie de
vérification du cadre de gestion du risque d’entreprise lié aux TI
Selon le personnel des AR, la vérification
des contrôles n’était pas assez clairement définie et documentée pour
permettre de conclure que les contrôles d’atténuation relatifs aux TI fonctionnaient
comme il se doit.
|
|
Implications/risques
|
Une documentation inadéquate de la méthodologie utilisée accroît
le risque que les procédures de vérification des contrôles n’étayent pas correctement
les conclusions quant à l’adéquation de la conception des contrôles
d’atténuation.
|
|
Priorité
|
Moyenne
|
|
Exigence
|
Veuillez
décrire le plan d’action qu’adoptera l’OCRCVM pour donner suite à cette
constatation, en prenant soin d’indiquer le calendrier de mise en œuvre.
|
|
Réponse de
l’OCRCVM
|
Nous convenons
de l’absence d’une méthodologie documentée de vérification des contrôles du
cadre de gestion du risque d’entreprise. Nous sommes d’avis qu’une telle
méthodologie ne réduirait pas le risque que la vérification des contrôles
étaye insuffisamment les conclusions quant à l’adéquation de la conception
des contrôles d’atténuation. La principale mesure d’atténuation est que les
scripts de vérification des contrôles sont adéquatement conçus et
efficacement exécutés en fonction de la nature de chaque contrôle. Pour
chaque vérification des contrôles effectuée, nous réalisons des tests de
cheminement du processus pour comprendre ce dernier et la nature des
contrôles. L’information ainsi obtenue permet de créer un script de
vérification des contrôles pour les procédures dont nos inspecteurs
indépendants se chargeront. Ces scripts visent à étayer nos conclusions quant
à l’existence de contrôles d’atténuation. Nous avons appliqué uniformément
cette approche à toutes nos vérifications des contrôles depuis l’exercice
2015. Nous possédons aussi un critère de vérification fondé sur le risque et documenté,
qui a permis de déterminer les contrôles à vérifier et la fréquence de
vérification à privilégier.
Nous avons
conformé l’ensemble de notre cadre de gestion du risque d’entreprise (et non
seulement le volet lié aux TI) à l’ISO 31000:2009
Management du risque – Principes et lignes directrices. Cette norme du
secteur ne prévoit pas de processus de vérification des contrôles dans le
cadre de la gestion du risque d’entreprise d’une organisation. Nous avons, de
notre propre chef, inclus de tels processus dans la phase surveillance et
inspection de notre méthodologie de gestion du risque. La vérification des
contrôles relative au cadre de gestion du risque d’entreprise qui est
effectuée n’a jamais été censée servir de base à une opinion d’audit ni de
garantie à l’égard de nos mécanismes de contrôle interne. Les résultats
permettent simplement d’établir si les auto-évaluations du risque d’entreprise
doivent être réévaluées à la lumière de l'inspection indépendante des
contrôles internes.
En réponse aux
constatations du personnel des ACVM :
- Nous comptons indiquer clairement dans
notre rapport annuel sur la gestion du risque destiné au CFACR du
conseil que les travaux de vérification des contrôles réalisés pour le
cadre de gestion du risque d’entreprise ne visaient pas à fournir une
attestation ni une garantie quant à la performance de nos mécanismes de
contrôle internes.
- Nous concevrons un document de procédure officiel
exposant le processus de vérification des contrôles entrepris pour le
cadre de gestion du risque d’entreprise. Nous y officialiserons les
éléments des orientations qui ont déjà été documentés et partagés au
sein de l’organisme. Ce document mettra l’accent sur les principales
étapes du processus de vérification des contrôles, par exemple :
- les critères servant à déterminer les contrôles
à vérifier;
- la fréquence de la vérification des
contrôles;
- l’affectation de ressources à la
vérification des contrôles;
- les normes de documentation;
- le flux des travaux d’inspection.
Ce document devrait
être prêt d’ici la fin d’octobre 2017.
|
|
Commentaires du
personnel des AR et suivi
|
Le personnel
des AR prend acte du fait que l’OCRCVM reconnaît l’absence d’une méthodologie
documentée de vérification des contrôles aux fins des essais liés au cadre de
gestion du risque d’entreprise. Il prend aussi acte du fait que l’OCRCVM
élaborera un document de procédure officiel exposant le processus de
vérification des contrôles devant être entrepris relativement au cadre de
gestion du risque d’entreprise, et communiquant au CFACR les buts des travaux
de vérification des contrôles. Le personnel des AR s’attend à ce que l’OCRCVM
parachève ce document au plus tard le 31 octobre 2017, et à ce qu’il
surveille son efficacité et fasse rapport sur celle-ci d’ici le
31 mars 2018.
|
|
Aux
termes des conditions 8b et c des décisions de reconnaissance, l’OCRCVM doit
administrer ses règles et veiller à l’observation de celles-ci et de la
législation en valeurs mobilières par les courtiers membres et les autres
personnes sous sa compétence, y compris les SNP, et, si une bourse ou un
système de cotation et de déclaration d’opérations retient ses services, il
doit administrer les règles conformément à une entente de services de
réglementation, veiller à leur observation et prendre les mesures
d’application qui s’imposent.
Le Service d’examen et d’analyse des opérations (SEAO) de l’OCRCVM
a la principale responsabilité de réaliser ce qui suit :
La dernière
inspection du SEAO remonte à 2014 et le personnel des AR n’y a alors fait aucune
constatation de priorité moyenne ou élevée. Depuis, le Service de la mise en application de l’OCRCVM a revu son
processus de transfert de dossiers dans le cadre duquel le SEAO évalue tous
les dossiers et transfère certains d’entre eux directement au groupe chargé
des enquêtes relatives à la mise en application. Comme il se fie à des
données et à des outils technologiques, et pour mieux comprendre le rôle que
joue le SEAO dans la surveillance des titres de créance après l’opération, le
personnel des AR a axé son inspection sur ce qui
suit :
•
l’évaluation
de l’efficacité du processus révisé de transfert de dossiers du SEAO;
•
l’évaluation
du rôle que joue le SEAO dans l’analyse des données ou les enquêtes
préliminaires concernant les opérations sur le marché des titres de créance.
Le personnel des AR a inspecté ce qui suit :
Le personnel
est satisfait du processus révisé de transfert des dossiers du SEAO. En outre, il a confirmé que le SEAO continue d’analyser
les données relatives aux opérations sur titres de capitaux propres et
d’effectuer des enquêtes préliminaires sur celles-ci, et que le nouveau groupe
de surveillance des marchés des titres de créance est responsable de
l’analyse des données liées aux opérations sur titres de créance ainsi que
des enquêtes postérieures à l’opération au moyen des processus du SEAO
adaptés à ses fins.
|
|
Constatation
Le personnel des AR n’a fait aucune
constatation pour ce secteur.
|
|
Conformément aux conditions 8b et 11 des décisions de
reconnaissance, l’OCRCVM doit administrer ses règles et veiller à
l’observation de celles-ci et de la législation en valeurs mobilières par les
courtiers membres et les autres personnes sous sa compétence, y compris les
SNP, et il doit aussi veiller à ce que ses systèmes essentiels soient dotés
de contrôles adéquats pour assurer la sécurité et l’intégrité de
l’information et disposent d’une capacité suffisante pour lui permettre
d’exercer convenablement ses activités.
Le Service de
surveillance du marché (titres de capitaux propres et titres de créance) de l’OCRCVM :
•
surveille
en temps réel les opérations qui ont lieu sur l’ensemble des marchés de
titres de capitaux propres au Canada;
•
surveille
les opérations qui ont lieu sur les marchés des titres de créance
admissibles;
La dernière inspection du Service de surveillance du marché remonte
à 2014 et le personnel des AR n’a alors relevé aucune constatation de
priorité moyenne ou élevée. Par suite de l’entrée
en vigueur de ses règles sur la déclaration des opérations sur titres de
créance en novembre 2015, l’OCRCVM a mis sur pied un
nouveau Service de surveillance du marché des titres de créance (SSMTC) et effectué
des investissements technologiques pour analyser les données relatives aux
opérations déclarées sur ces titres.
Le SSMTC fait également de la surveillance préliminaire
après l’opération à l’égard des opérations sur titres de créance susceptibles
de contrevenir aux règles de l’OCRCVM ou à la législation en valeurs
mobilières applicables. Cette fonction est analogue à celle du SEAO relativement aux opérations sur titres de capitaux
propres.
Par conséquent, le personnel des AR a axé son inspection sur ce
qui suit :
Le personnel des AR a inspecté ce qui suit :
Le personnel des AR reconnaît que l’OCRCVM a pris les premières
mesures pour mettre en place le SSMTC. L’OCRCVM devrait continuer d’élaborer, d’évaluer, de peaufiner et d’améliorer
les processus et procédures essentiels de ce service, particulièrement ceux
sur les ressources, les indicateurs de référence, les politiques et
procédures, l’élaboration d’alertes et les outils de surveillance.
Après avoir examiné un échantillon d’alertes traitées par le personnel
du SSMTC, le personnel des AR fait la constatation de priorité faible
suivante.
|
|
1) Constatation : Documentation incomplète dans les
dossiers de surveillance du marché des titres de créance
Le personnel des AR constate qu’un
échantillon des dossiers d’alertes était incomplet en raison d’un manque de
rigueur dans la documentation. Plus précisément, certains échanges entre le personnel du SSMTC et les
courtiers membres n’avaient pas été adéquatement documentés, et, bien que des
mesures correctives comme des ajustements et des annulations d’opérations
aient été consignées, la fermeture d’un dossier d’alerte sans suite ne
l’avait pas été.
|
|
Implications/risques
|
En cas de documentation inadéquate ou incomplète, le personnel du
SSMTC pourrait ne pas pouvoir démontrer le bien-fondé d’une décision prise à
l’égard d’une alerte, particulièrement à long terme.
|
|
Priorité
|
Faible
|
|
Exigence
|
Veuillez
décrire le plan d’action qu’adoptera l’OCRCVM pour donner suite à cette
constatation.
|
|
Réponse de
l’OCRCVM
|
Nous
prenons acte de la constatation.
Tous les
échanges avec le personnel des courtiers membres dans le cadre des enquêtes
sur les alertes, y compris les conversations téléphoniques, sont désormais
consignés dans la piste d’audit des alertes (par exemple, le moment de
l’appel, les détails de la réponse, etc.). En outre, chaque dossier d’alerte
fermé est étayé d’une conclusion ou d’une explication.
|
|
Commentaires du
personnel des AR et suivi
|
Le personnel des
AR prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.
|