Avis

Informations sur la décision

Rapport d’inspection de l’Organisme canadien de réglementation du commerce des valeurs mobilières

Collection Avis
Date 2016-03-03
Numéro de dossier MSC Notice 2016-9
Type de la décision Avis local
Juridiction FR Manitoba Securities Commission

Contenu de la décision

 

 

 

 

 

 

 

 

 

 

Rapport d’inspection

de l’Organisme canadien de réglementation du commerce des valeurs mobilières

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Publication : le 3 mars 2016

Table des matières

 

I.         Introduction. 1

1.          Objectifs. 1

2.          Méthodologie. 1

3.          Cadre de référence. 2

4.          Forme du rapport 3

5.          Étendue. 3

6.          Priorité des constatations. 4

7.          Résumé des constatations et évaluation. 4

II.       Travail sur le terrain et constatations. 5

A.         Mise en application. 5

B.          Technologies de l’information. 12

C.          Conformité de la conduite des affaires. 18

I.           Introduction

L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) est l’organisme d’autoréglementation (OAR) national qui surveille l’ensemble des courtiers en placement et des opérations effectuées sur les marchés des titres de capitaux propres et des titres de créance au Canada.

L’OCRCVM est reconnu à titre d’OAR par l’Alberta Securities Commission (ASC), l’Autorité des marchés financiers (l’« Autorité »), la British Columbia Securities Commission (BCSC), la Financial and Consumer Affairs Authority of Saskatchewan (FCAA), la Commission des services financiers et des services aux consommateurs du Nouveau‑Brunswick (FCNB), la Commission des valeurs mobilières du Manitoba (CVMM), la Nova Scotia Securities Commission (NSSC), l’Office of the Superintendent of Securities, Service Newfoundland and Labrador (Terre‑Neuve et Labrador), la Commission des valeurs mobilières de l’Ontario (CVMO) et l’Office of the Superintendent of Securities de l’Île‑du‑Prince‑Édouard (collectivement, les « autorités de reconnaissance »). L’OCRCVM a son siège à Toronto et des bureaux régionaux à Montréal, à Calgary et à Vancouver.

L’inspection a été menée conjointement par le personnel des autorités de reconnaissance (le « personnel ») : l’ASC, l’Autorité, la BCSC, la FCAA, la FCNB, la CVMM, la NSSC et la CVMO.

Le présent rapport expose en détail les objectifs, la méthodologie, le cadre de référence, la forme du rapport, l’étendue, l’évaluation globale et les constatations de l’inspection pour la période du 1er janvier 2014 au 31 mars 2015 (la « période d’inspection »).

1.           Objectifs

Les objectifs de l’inspection étaient les suivants :

         évaluer l’efficacité de certains processus réglementaires

         établir si certains processus réglementaires clés étaient efficients, cohérents et appliqués de manière équitable

2.           Méthodologie

Les autorités de reconnaissance ont adopté une méthodologie fondée sur le risque pour déterminer l’étendue de l’inspection. Chaque année, les autorités de reconnaissance :

         évaluent les risques inhérents à chaque secteur fonctionnel ou processus clé en fonction de ce qui suit :

o   la documentation interne de l’OCRCVM (y compris les auto‑évaluations annuelles de la direction et les évaluations annuelles des risques)

o   les renseignements obtenus de l’OCRCVM dans le cours normal des activités de supervision (dépôts périodiques, discussions avec le personnel)

o   l’étendue et la priorisation des constatations de l’inspection précédente

o   l’incidence des événements ou des changements importants touchant les marchés et les participants d’un secteur en particulier

         évaluent les contrôles connus de chaque secteur fonctionnel

         tiennent compte des facteurs situationnels ou externes pertinents et de l’incidence des risques touchant l’OCRCVM dans son ensemble ou plusieurs de ses services

         établissent une cote globale de risque initiale pour chaque secteur

         tiennent des discussions avec l’OCRCVM afin de repérer les autres contrôles d’atténuation qui ont été mis en œuvre dans certains secteurs fonctionnels et d’en évaluer l’efficacité

         établissent une cote globale de risque rajustée pour chaque secteur

         établissent l’étendue de l’inspection d’après les cotes de risque rajustées

3.           Cadre de référence

La dernière inspection de l’OCRCVM réalisée par le personnel remonte à 2014. Par suite de cette inspection, le personnel a publié en date du 4 décembre 2014 un rapport (le « rapport d’inspection 2014 ») qui présente des constatations importantes concernant la réglementation, plus particulièrement dans les services de la mise en application et de la conformité de la conduite des affaires. Le rapport d’inspection 2014 contenait également les plans d’action applicables décrits par l’OCRCVM ainsi que les calendriers de mise en œuvre pour donner suite aux constatations. Le personnel a examiné et approuvé ces plans d’action.

Depuis la dernière inspection, l’OCRCVM continue de faire face à de nombreuses difficultés et conditions du marché, tout en s’acquittant de ses responsabilités de réglementation. Dans le cadre du processus d’évaluation des risques, le personnel a fait le suivi des progrès réalisés par l’OCRCVM pour donner suite aux constatations présentées dans le rapport précédent, et il a examiné l’incidence des conditions du marché et enjeux suivants sur l’OCRCVM en tant qu’organisme ainsi que sur les secteurs et les processus fonctionnels concernés :

  • Conjoncture économique instable : En raison de l’instabilité persistante de la conjoncture économique mondiale et plus particulièrement dans le secteur canadien des ressources, le modèle d’entreprise de certains courtiers est de moins en moins rentable, ce qui pousse les courtiers membres à se regrouper davantage ou à démissionner. Dans la conjoncture économique canadienne marquée par une croissance lente et des rendements faibles, bon nombre de courtiers membres de l’OCRCVM continuent de réévaluer les relations traditionnelles client-conseiller, ce qui, craint-on, pourrait les inciter à proposer à certains investisseurs, comme les personnes âgées et d’autres personnes vulnérables, des produits non traditionnels et des stratégies de placement plus complexes qui pourraient ne pas leur convenir dans leur situation, afin de compléter les rendements décroissants.
  • Changements technologiques : La complexité croissante de la structure des marchés au Canada a amené l’OCRCVM à recourir davantage aux outils technologiques dans le cadre de ses processus réglementaires. Vu le rythme des changements technologiques, l’utilité des applications et des systèmes existants diminue sans cesse, ce qui nécessite des mises à niveau plus fréquentes et plus coûteuses ainsi que du personnel plus spécialisé. Cette situation s’est traduite par une demande accrue de personnel qualifié pour prévoir et planifier adéquatement les besoins futurs.
  • Modification de la réglementation : Les modifications réglementaires actuelles ou à venir pourraient poser des défis à bon nombre de courtiers. Par exemple, en raison de l’adoption de nouvelles obligations visant à accroître la transparence de l’information fournie aux investisseurs sur la performance et les frais, certains courtiers membres de l’OCRCVM éprouveront de la difficulté à comprendre, à budgéter et à mettre en œuvre les modifications à leurs processus et à leurs systèmes pour en assurer la conformité.

4.           Forme du rapport

Conformément à la méthodologie fondée sur le risque qui a été adoptée, le présent rapport met l’accent sur les secteurs fonctionnels ou les processus clés pour lesquels les constatations sont importantes et qui nécessitent des mesures correctives. Bien que chaque constatation nécessite une réponse de la part de l’OCRCVM et une description des mesures correctives à prendre, le personnel souligne que ces constatations n’ont pas toutes été faites dans chacun des bureaux régionaux où une fonction ou un processus particulier de l’OCRCVM a été échantillonné aux fins d’inspection. Toutefois, le personnel exige que l’OCRCVM prenne les mesures correctives nécessaires pour assurer la cohérence de son approche dans tout le Canada.

5.           Étendue

Dans le cadre du processus d’évaluation des risques, compte tenu de l’état d’avancement des mesures prises pour donner suite aux constatations du rapport d’inspection précédent et vu les enjeux ainsi que les conditions du marché délicates qui peuvent avoir une incidence sur l’OCRCVM, le personnel a déterminé que l’inspection serait axée sur certains processus et certaines activités[1] relevant des secteurs à risque élevé et à risque supérieur à la moyenne suivants :

Risque élevé

  • Mise en application
  • Technologies de l’information

 

Risque supérieur à la moyenne

  • Conformité de la conduite des affaires

 

En outre, dans le cadre du processus d’évaluation des risques, le personnel a déterminé que les secteurs à risque modéré et à risque faible suivants ne seraient pas visés par la présente inspection[2] :

 

Risque modéré

  • Adhésion et inscription
  • Conformité des finances et des opérations
  • Conformité de la conduite de la négociation
  • Surveillance du marché et systèmes
  • Examen et analyse des opérations
  • Politiques
  • Gestion des risques

Risque faible

  • Gouvernance
  • Opérations financières

6.           Priorité des constatations

Le personnel a classé les constatations par ordre de priorité, soit élevée, moyenne et faible, en fonction des critères suivants :

Élevée

La question est importante ou est rattachée à une constatation fréquente importante. L’OCRCVM devrait prendre immédiatement des mesures correctives et présenter régulièrement des rapports sur ses progrès.

Moyenne

La question est d’importance modérée. L’OCRCVM devrait la résoudre dans un délai raisonnable et présenter périodiquement des rapports sur ses progrès.

Faible

La question est de moindre importance. Le personnel en a fait part à la direction de l’OCRCVM pour qu’elle la règle.

7.           Résumé des constatations et évaluation

Dans le cadre de son évaluation des progrès réalisés par l’OCRCVM pour régler les problèmes soulevés dans le rapport d’inspection 2014, le personnel a relevé la répétition de deux constatations au Service de la mise en application. Il leur a attribué une priorité élevée. Le personnel reconnaît que l’OCRCVM a réalisé des progrès satisfaisants dans la résolution d’autres enjeux constatés dans le rapport d’inspection 2014. Dans le cadre de son inspection, le personnel a également fait des constatations de priorité moyenne dans les services de la mise en application (une constatation), des technologies de l’information (trois constatations) et de la conformité de la conduite des affaires (deux constatations). Il continuera de suivre les progrès réalisés par l’OCRCVM pour apporter en temps opportun des solutions spécifiques aux constatations présentées dans le rapport, selon l’ordre de priorité indiqué.

Les constatations de priorité élevée ou moyenne figurent sous la rubrique Travail sur le terrain et constatations. Hormis les constatations énoncées, le personnel n’a aucune préoccupation en ce qui concerne le respect, par l’OCRCVM, des conditions des décisions de reconnaissance dans les secteurs visés. Par ailleurs, il ne fait aucun commentaire et ne tire aucune conclusion en ce qui a trait aux activités de l’OCRCVM qui n’étaient pas visées par l’inspection.

 

II.        Travail sur le terrain et constatations

A.    Mise en application

 

 

Conformément aux conditions 5 et 8 de la décision de reconnaissance, l’OCRCVM doit veiller à l’observation de ses règles par les courtiers membres, les systèmes de négociation parallèles (SNP), les personnes inscrites et les autres personnes sous sa compétence.

 

Le personnel de la mise en application de l’OCRCVM s’acquitte de ses responsabilités de réglementation de trois manières :

o   l’évaluation des dossiers

o   les enquêtes

o   les litiges

 

Le groupe chargé de traiter les plaintes et les demandes de renseignements des clients est indépendant du Service de la mise en application, bien que son directeur soit également celui du Service d’évaluation des dossiers.

 

Les principales responsabilités du personnel de la mise en application sont les suivantes :

 

L’inspection de 2014 a permis de relever trois constatations de priorité élevée (à savoir le nombre de dossiers de conduite sur les marchés, l’efficacité du processus d’enquête et l’accès à la nouvelle base de données des dossiers de mise en application). Depuis, bon nombre des facteurs qui augmentaient les risques pour les investisseurs et portaient atteinte à l’intégrité des marchés financiers subsistent. La conjoncture économique mondiale instable, les tensions dans certains secteurs au Canada (comme le secteur pétrolier et gazier) et la faiblesse des taux d’intérêt peuvent fausser le prix des actifs tout en diminuant les rendements de nombreuses catégories de produits traditionnels. Ce type de conjoncture économique difficile peut inciter nombre d’investisseurs et de leurs conseillers à se rabattre sur d’autres produits et stratégies de négociation comportant des risques qu’ils comprennent mal et qui ne conviennent peut‑être pas. Dans un tel contexte, l’OCRCVM doit continuer d’affecter les ressources nécessaires pour que le personnel de la mise en application puisse rapidement, mais de manière prudente, déceler les situations où les investisseurs subissent un préjudice, enquêter sur ces situations et prendre des mesures.

 

Par conséquent, le personnel a axé son examen sur ce qui suit :

 

Le personnel a examiné les documents suivants :

         le manuel du système de gestion des dossiers de mise en application

 

L’OCRCVM a mis en œuvre des procédures pour mieux détecter, surveiller et corriger les problèmes relevés dans la constatation concernant le nombre de dossiers de conduite sur les marchés qui figure dans le rapport d’inspection 2014. Toutefois, le personnel fait remarquer que d’autres constatations importantes de l’inspection précédente n’ont pas été corrigées. Ces problèmes ainsi que d’autres situations relevées sont détaillés dans les constatations de priorité élevée et de priorité moyenne énoncées ci‑dessous. Étant donné le rôle important du Service de la mise en application dans la protection des investisseurs, le personnel continuera de surveiller son niveau d’activité et analysera les tendances dans le cadre de la supervision continue.

 

Constatation 1 – Gestion de l’accès au système de gestion des dossiers de mise en application

 

L’OCRCVM n’a pas limité l’accès à la base de données sur la gestion des dossiers pour gérer les conflits d’intérêts potentiels des utilisateurs du système, notamment les membres du personnel responsable de la mise en application et de la conformité. En réponse à une constatation similaire présentée dans le rapport d’inspection 2014, l’OCRCVM avait indiqué qu’une analyse de rentabilité des modifications à apporter au système de gestion des dossiers de mise en application serait entreprise dans le cadre de la budgétisation des investissements pour l’exercice 2016. Toutefois, l’OCRCVM n’a pas approuvé ces modifications, n’y a pas donné suite au cours de l’exercice 2016 et n’a pas mis en œuvre de contrôles compensatoires supplémentaires pour gérer adéquatement les conflits d’intérêts apparents ou réels des utilisateurs du système de gestion des dossiers de mise en application.

 

Risques

 

En raison de l’omission de l’OCRCVM de mettre en œuvre des contrôles compensatoires supplémentaires, les utilisateurs concernés par un conflit d’intérêts apparent ou réel ont toujours la possibilité d’avoir accès, à leur bénéfice, à l’information contenue dans le système de gestion des dossiers de mise en application.

 

Priorité

Élevée[3]

 

Exigence

 

Veuillez décrire les mesures que prendra immédiatement l’OCRCVM pour donner suite à cette constatation fréquente importante, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Notre président et chef de la direction a accordé la priorité à ces mesures et nous avons inscrit au budget les fonds nécessaires pour apporter les modifications dont il est question dans la constatation. Une nouvelle demande de dépenses en immobilisations pour l’exercice commençant le 1er avril 2016 sera présentée au conseil de l’OCRCVM pour approbation. Nous soulignons également que le calendrier des modifications au système de gestion des dossiers de mise en application dépendra dans une certaine mesure d’autres modifications préalables.

Nous soulignons également que, bien que nous n’ayons pas modifié notre base de données, nous avons mis en œuvre certains contrôles compensatoires dont il était question dans le rapport d’inspection 2014 :

« Entre‑temps [avant la solution de TI à long terme], nous notons que d’autres mesures ont été mises en œuvre pour repérer et gérer les conflits au sein du personnel. Plus particulièrement, conformément à la politique de l’OCRCVM, tous les employés ont l’obligation de signaler de façon continue à l’entreprise les conflits réels ou potentiels. Ainsi, la direction du Service de la mise en application est informée de tout conflit d’intérêts propre aux dossiers de mise en application en cours et prend les moyens nécessaires pour les gérer adéquatement. »

 

Nous rappelons au personnel que d’ici à ce que la solution de TI à long terme soit mise en œuvre, l’OCRCVM sera capable de faire le suivi des accès aux dossiers, de produire des rapports sur ces accès et de prendre les mesures qui s’imposent.

 

Commentaires du personnel et suivi

Le personnel prend acte des mesures prises par l’OCRCVM pour corriger la situation. Il s’attend toujours à ce que l’OCRCVM oblige les membres de son personnel à signaler les conflits réels ou potentiels et prenne les mesures nécessaires pour gérer adéquatement les conflits d’intérêts apparents ou réels des utilisateurs du système de gestion des dossiers de mise en application.

Constatation 2 – Normes de tenue des dossiers

Le personnel a examiné un échantillon de dossiers provenant du Service d’évaluation des dossiers et du Service des enquêtes. Il a remarqué que dans certains d’entre eux, le niveau d’examen et d’approbation requis de la direction n’était pas toujours documenté de la même manière. En réponse à une constatation similaire énoncée dans le rapport d’inspection 2014, l’OCRCVM a reconnu qu’il fallait améliorer les normes de documentation, en précisant que le nouveau système de gestion des dossiers remédierait au problème.

 

Risques

 

Le personnel demeure préoccupé par le fait que l’application non uniforme de normes de tenue des dossiers pourrait se solder par un niveau d’assurance inadéquat en ce qui concerne les approbations nécessaires.

 

Priorité

Élevée[4]

 

Exigence

Veuillez décrire les mesures que prendra immédiatement l’OCRCVM pour donner suite à cette constatation fréquente importante, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Toutefois, nous soulignons que le niveau d’examen et d’approbation requis de la direction a été obtenu dans tous les cas, bien qu’il n’ait pas toujours été documenté de la même manière dans le système de gestion des dossiers de mise en application.

Un groupe de travail de l’OCRCVM a été formé en juillet 2015 pour corriger le problème des normes de gestion de la documentation dans le système de gestion des dossiers de mise en application et dans SharePoint (le système utilisé pour la gestion électronique des documents dans les dossiers de mise en application). L’objectif est d’assurer la clarté et la cohérence des procédures au sein du service et dans l’ensemble des bureaux régionaux en ce qui a trait au stockage électronique des documents, notamment les conventions relatives à leurs titres. Nous prévoyons terminer le nouveau protocole en janvier 2016 et le présenter au personnel à la fin de février, ce qui coïncide avec la mise à niveau prévue de SharePoint.

 

Commentaires du personnel et suivi

Le personnel prend acte des mesures prises par l’OCRCVM pour corriger l’absence d’approbations consignées dans le système de gestion des dossiers de mise en application. Il s’attend à ce que, dorénavant, l’OCRCVM vérifie l’efficacité du nouveau protocole et prenne les mesures qui s’imposent.

Constatation 3 – Politiques et procédures écrites – Dossiers de conduite sur les marchés

 

Le personnel a confirmé qu’il n’existe aucune politique ou procédure écrite d’évaluation des dossiers de conduite sur les marchés.

 

Risques

 

L’absence de politiques et de procédures écrites pourrait se traduire par un traitement inefficace ou incohérent des dossiers.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Nous soulignons qu’il est prévu, à la rubrique du manuel de mise en application portant sur les enquêtes, que le directeur des enquêtes liées aux marchés doit effectuer un examen initial afin de déterminer si une enquête est justifiée. Bien qu’il ne s’agisse pas là de politiques et de procédures écrites complètes, cette disposition résume la fonction d’évaluation des dossiers de conduite sur les marchés.

 

Afin de corriger cette situation, la direction du Service de la mise en application a récemment examiné cette procédure; elle a conclu qu’étant donné que le Service d’examen et d’analyse des opérations de l’OCRCVM effectue déjà un examen initial des dossiers, il n’est pas nécessaire que le Service de la mise en application effectue à son tour une évaluation initiale des dossiers que ce service lui transmet. Le Service d’examen et d’analyse des opérations transmettra plutôt les dossiers de conduite sur les marchés directement au Service des enquêtes. Cette pratique est analogue au processus de transmission au Service des enquêtes des dossiers de conduite des membres provenant d’autres services de l’OCRCVM exerçant des fonctions de supervision.

 

Cette nouvelle pratique a déjà cours de manière informelle.

 

Bien qu’ils soient majoritairement transmis par le Service d’examen et d’analyse des opérations, les dossiers de conduite sur les marchés proviennent parfois d’autres sources internes ou externes. Les dossiers internes transmis par le Service de la conformité de la conduite de la négociation de l’OCRCVM sont envoyés directement au Service des enquêtes, où une enquête est ouverte. Cette pratique est également analogue au processus de transmission des dossiers de conduite des membres provenant d’autres services de l’OCRCVM exerçant des fonctions de supervision.

 

Les dossiers transmis par un organisme de réglementation provincial seront envoyés directement au Service des enquêtes. Pour ce qui est des autres dossiers liés aux marchés provenant de sources externes, le directeur des enquêtes liées aux marchés continuera d’effectuer une évaluation préliminaire et d’obtenir, au besoin, l’examen d’un superviseur et l’approbation de la direction. Le processus sera généralement conforme au cadre énoncé à la rubrique du manuel de mise en application concernant l’évaluation des dossiers.

 

Toutes les mises à jour du manuel tenant compte des procédures ci‑dessus et y apportant des précisions seront faites d’ici le 1er février 2016.

 

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

Constatation 4 – Examen et approbation d’un superviseur

 

Le personnel a remarqué qu’avant janvier 2015, à l’étape de l’évaluation du dossier, l’OCRCVM n’obligeait aucun gestionnaire de dossiers de conduite sur les marchés à obtenir l’examen et l’approbation d’un superviseur à l’égard des dossiers menés à terme et autoévalués par le même gestionnaire.

 

Risques

 

L’absence d’un mécanisme indépendant d’examen peut compromettre les normes de tenue des dossiers et faire douter de l’impartialité de l’évaluateur.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les autres mesures que pourrait prendre l’OCRCVM pour corriger la situation.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Étant donné que le Service d’examen et d’analyse des opérations transmettra directement les dossiers de conduite sur les marchés au Service des enquêtes, l’évaluation des dossiers par le Service de la mise en application ne sera plus nécessaire pour ce type de dossiers, qui représentent la grande majorité des dossiers liés aux marchés que traite ce service. Dans les rares cas où une évaluation préliminaire demeurera nécessaire, l’examen d’un superviseur et l’approbation de la direction seront exigés. Se reporter à la réponse à la constatation 3 ci‑dessus pour plus de renseignements.

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

B.          Technologies de l’information

 

 

Conformément à la condition 11 de la décision de reconnaissance, l’OCRCVM doit veiller à ce que ses systèmes technologiques essentiels i) soient dotés de contrôles internes adéquats pour assurer l’intégrité et la sécurité de l’information et ii) disposent d’une capacité adéquate. En outre, il doit maintenir des contrôles permettant de gérer les risques associés à ses activités.

 

Le Service des technologies de l’information (TI) de l’OCRCVM a la responsabilité générale de la conception, de la maintenance, de la fourniture et de la sécurité des applications et des systèmes technologiques qui sont nécessaires à l’OCRCVM pour exercer ses activités d’exploitation et atteindre ses objectifs stratégiques.

 

En raison de la complexité, de l’intégration et de la nécessité croissantes des systèmes, l’OCRCVM, à l’instar de nombreuses sociétés du secteur financier, continue d’être aux prises avec la difficulté d’embaucher et d’affecter des ressources suffisantes pour lutter contre divers risques en hausse (p. ex., la cybersécurité et la sécurité de l’information). L’OCRCVM met l’accent sur ce secteur parce qu’un appareil portable a été perdu au début de 2013 et qu’au moment de l’inspection, l’organisme était toujours visé par une éventuelle action collective. Après la période d’inspection, la Cour d’appel du Québec a rejeté l’appel de la décision rendue par la Cour supérieure du Québec de ne pas autoriser l’action collective. Toutefois, une requête en autorisation d’une nouvelle action collective a récemment été signifiée à l’OCRCVM.

 

En raison de ce qui précède, le personnel a fait porter son examen sur ce qui suit :

  • les politiques et procédures de sécurité de l’information en place et leur diffusion au sein de l’organisme
  • l’élaboration du registre des risques liés aux TI et son intégration au cadre de gestion du risque d’entreprise
  • les rôles et responsabilités clés, les compétences des membres du personnel et la gouvernance générale au sein du service
  • les progrès de l’OCRCVM dans de multiples projets liés aux TI

 

Le personnel a examiné les documents suivants :

  • les politiques et procédures de sécurité de l’information et les documents de formation connexes
  • les rapports d’étape du plan de sécurité
  • le registre des risques liés aux TI
  • l’organigramme du service
  • le rapport annuel sur la sécurité de l’information et d’autres rapports
  • les procès‑verbaux des réunions du conseil d’administration (le « conseil ») et du Comité des finances, de l’audit comptable et des risques

 

Pendant la période d’inspection, le personnel a noté que l’OCRCVM a embauché un nouveau chef de l’information pour superviser le service des TI. Il a également constaté que, durant la période d’inspection, l’OCRCVM a amélioré le registre des risques liés aux TI. Le registre indique les risques et les contrôles d’atténuation pertinents et fait le suivi des progrès réalisés dans la mise en œuvre des plans de résolution pour réduire les risques liés aux TI à un niveau acceptable et conforme au nouveau cadre de gestion du risque d’entreprise de l’OCRCVM. Le personnel a toutefois fait les constatations de priorité moyenne suivantes lors de son inspection.

 

Constatation 1 – Plan de mise en œuvre de la sécurité de l’information – Supervision du conseil

 

Le personnel a remarqué l’insuffisance du processus permettant de consigner les changements découlant des décisions clés du conseil en matière de sécurité de l’information et de faire rapport sur leur efficacité.

 

Un plan de progrès préalablement approuvé chargeait le personnel de l’OCRCVM de suivre et de gérer l’élimination des principaux risques de sécurité ciblés, puis de faire rapport au conseil au moins chaque trimestre. Après janvier 2015, les comptes rendus du plan de progrès ont cessé, même si de nombreux projets approuvés par le conseil en vue d’éliminer les risques ciblés n’avaient pas été entièrement mis en œuvre.

 

La haute direction de l’OCRCVM a avisé le personnel qu’en raison des progrès qui avaient été réalisés dans la majorité des projets, le conseil avait accepté que les comptes rendus soient dorénavant inclus dans d’autres rapports opérationnels fournis par le Comité des finances, de l’audit comptable et des risques ou par le chef de l’information, au lieu d’être fournis dans le cadre du plan de progrès de la mise en œuvre de la sécurité. Le personnel a également été informé que lors de réunions subséquentes, le conseil ne s’était pas opposé à la modification de la façon de faire rapport. Cependant, malgré l’importance que le conseil de l’OCRCVM accorde à la sécurité de l’information, le procès-verbal de la réunion du conseil tenue en janvier 2015 n’indiquait aucunement l’intention de modifier le mode de gestion et la forme des rapports concernant les projets restants. En outre, les modifications ont été apportées même si certains projets n’avaient pas respecté la date d’achèvement cible, comme il est indiqué dans le dernier compte rendu du plan de progrès de janvier 2015.

 

Risques

 

L’insuffisance des processus et de la consignation des décisions du conseil pourrait se traduire par l’inefficacité de la supervision exercée par celui-ci et un manque d’uniformité dans la mise en œuvre de ses décisions.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Nous faisons remarquer que, malgré l’abandon du format d’un rapport consolidé, le conseil de l’OCRCVM a toujours reçu des renseignements complets et à jour sur le plan de mise en œuvre de la sécurité de l’information. Les renseignements fournis au conseil depuis janvier 2015 sur ces questions importantes comprennent ce qui suit :

 

      les rapports du personnel du Service de la sécurité de l’information présentés au Comité des finances, de l’audit comptable et des risques que le président de ce comité résume et présente à l’ensemble du conseil;

      les comptes rendus du président du Comité des finances, de l’audit comptable et des risques présentés au conseil sur les résultats de l’audit interne de la sécurité de l’information, qui comprenaient un résumé détaillé du rapport présenté par l’auditeur interne à ce comité;

      les rapports réguliers sur l’état d’avancement inclus dans le rapport d’exploitation trimestriel qui comprennent une liste complète des politiques élaborées au cours de la période, des comptes rendus sur les projets de mise en œuvre de changements opérationnels et des programmes de formation;

      lors de sa réunion de septembre 2015, le conseil a décidé qu’en ce qui a trait aux rapports sur la sécurité de l’information qui lui sont présentés : i) un tableau de bord de chaque rapport sera inclus dans les documents trimestriels du Comité des finances, de l’audit comptable et des risques; ii) un rapport de gestion à l’attention du Comité des finances, de l’audit comptable et des risques sera fourni semestriellement, et iii) le conseil recevra le tableau de bord chaque semestre, sauf si des rapports supplémentaires sont nécessaires.

 

Le conseil sera informé en continu de l’état d’avancement des projets et des initiatives en cours, notamment ceux dont la date d’achèvement a été modifiée. De plus, si le conseil décide de modifier le type ou la fréquence des rapports qu’il reçoit sur des questions clés, cette décision sera indiquée dans le procès-verbal applicable.

 

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

Constatation 2 – Compétences requises

 

Le personnel a constaté des lacunes dans les compétences, les capacités ou l’expertise des membres du personnel à la fin de la période d’inspection dans les secteurs suivants :

  • Gestion des fournisseurs
  • Architecture d’entreprise
  • Gestion de projets

 

Le personnel prend acte du fait que l’OCRCVM évalue actuellement ces exigences, qui ont été ciblées en partie par l’OCRCVM à la suite d’un audit interne.

Risques

 

Des lacunes dans les compétences requises pourraient empêcher l’OCRCVM de répondre de façon proactive aux exigences en matière de TI, ce qui pourrait entraîner une affectation inefficace de ressources et exposer inutilement l’OCRCVM à des risques.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Pour résoudre le problème, nous avons amélioré notre expertise interne en matière de gestion des fournisseurs, y compris en concevant et en mettant en œuvre des modèles et d’autres ressources pour normaliser nos processus d’approvisionnement qui ont déjà été utilisés à plusieurs reprises.

 

Nous avons également embauché du personnel qui possède une expertise particulière dans plusieurs secteurs. Par exemple, en novembre 2015, nous avons pourvu le poste de directeur de l’architecture d’entreprise, embauché des chargés de projet pour notre bureau de gestion de projets et mis en œuvre des processus de gestion de projet améliorés afin de faciliter la planification, amélioré la gestion de projets et la  production de rapports.

 

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

Constatation 3 – Politiques, procédures, normes et lignes directrices concernant la sécurité de l’information (les « politiques sur la sécurité de l’information »)

 

Le personnel a confirmé que, durant la période d’inspection, les politiques et procédures écrites encadrant l’élaboration et la gestion des politiques sur la sécurité de l’information n’étaient pas suffisamment détaillées. Par conséquent, certaines politiques sur la sécurité de l’information à l’attention des employés de l’OCRCVM n’étaient plus à jour à la fin de la période d’inspection.

 

Risques

 

Dans de nombreux secteurs, le personnel de l’OCRCVM pourrait ne pas avoir suffisamment d’indications pour classer et protéger efficacement l’information.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Cependant, nous faisons remarquer que 9 de nos 11 politiques sur la sécurité de l’information ont été élaborées et mises en œuvre au cours de la période d’inspection. Nous reconnaissons que les deux politiques restantes n’ont pas été mises à jour : elles le seront en 2016, mais nous estimons qu’elles ne poseront aucun risque d’ici là. Il y a lieu de noter que les audits internes de nos politiques sur la sécurité de l’information effectués en décembre 2014 et janvier 2015 n’ont donné lieu à aucune constatation de priorité élevée ou moyenne.

 

Comme il est indiqué dans toutes les nouvelles politiques, l’OCRCVM s’engage à examiner les politiques sur la sécurité de l’information au moins une fois tous les deux ans pour s’assurer qu’elles demeurent pertinentes et à jour.

 

Nous souhaitons également mentionner que l’OCRCVM applique la norme ISO 27001 pour élaborer ses politiques sur la sécurité de l’information. Les exigences de cette norme sont très détaillées et nous sommes déterminés à finaliser en 2016 une politique interne écrite exhaustive et des procédures pour créer, examiner et approuver les politiques sur la sécurité de l’information. En outre, nous avons pris plus de temps que prévu pour réviser certaines politiques de l’OCRCVM et les aligner sur ces exigences, mais à notre avis, il était important de le faire correctement et de manière réfléchie pour nous assurer d’établir des normes élevées et de les respecter. Bien que ce processus ait entraîné un certain manque de cohérence entre les nouvelles politiques de l’OCRCVM et celles qui étaient en place avant que nous ne commencions les travaux sur la norme ISO, nous sommes certains d’avoir grandement amélioré notre approche générale en matière de sécurité de l’information. Pour éviter de laisser des lacunes dans les politiques, nous avons maintenu les anciennes politiques pendant que nous vérifions que les lacunes potentielles ont été corrigées.

 

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

C.         Conformité de la conduite des affaires

 

 

Conformément à la condition 8b de la décision de reconnaissance, l’OCRCVM doit veiller à l’observation de ses règles et de la législation en valeurs mobilières par les membres et les autres personnes sous sa compétence, y compris les SNP.

 

Le personnel du Service de la conformité de la conduite des affaires surveille la conformité des membres à toutes les obligations réglementaires non financières. Par exemple, en faisant des inspections sur le terrain, le Service de la conformité de la conduite des affaires évalue la conformité des courtiers membres aux obligations relatives à la convenance des placements au client, à la documentation d’ouverture de compte, à la supervision i) des conseillers, ii) des autres membres du personnel et iii) des établissements, aux opérations à titre personnel et aux activités professionnelles externes. De même, selon le modèle d’entreprise du courtier membre, le Service de la conformité de la conduite des affaires peut évaluer son financement, ses opérations pour compte propre et ses autres activités particulières.

 

Le rapport d’inspection 2014 faisait état de deux constatations de priorité élevée (suivi inadéquat des constatations figurant dans les rapports sur les courtiers membres et absence de politique officielle sur l’inspection des établissements). Depuis, la conjoncture économique continue de poser des défis aux courtiers membres et à leurs conseillers, ce qui peut avoir une incidence sur les produits et les services offerts aux clients. L’évolution du profil démographique, des besoins et des attentes des investisseurs entraîne pour sa part des modifications du cadre réglementaire canadien, voire international, qui peuvent poser de nouveaux défis aux membres de l’OCRCVM, et peut‑être modifier la manière dont l’OCRCVM réglemente ses membres.

 

Par conséquent, le personnel a fait porter son examen sur ce qui suit :

  • les progrès de l’OCRCVM en ce qui a trait au suivi des constatations figurant dans le rapport d’inspection 2014
  • les modifications de la méthodologie d’inspection fondée sur le risque
  • les modules d’inspection modifiés et les procédures précises qui sont conçues et mises en œuvre pour intégrer les exigences de la phase 1 du Modèle de relation client‑conseiller (MRCC)
  • l’examen annuel, par le service, des critères et des éléments du modèle MIRA (Member Information and Risk Assessment)
  • la manière dont l’OCRCVM charge les membres du personnel de prendre les décisions et d’évaluer si les processus d’approbation internes sont adéquats et appliqués dans des délais appropriés

Le personnel a examiné les documents suivants :

  • les modifications apportées aux modules du programme au cours de la période d’inspection
  • les statistiques des dossiers d’inspection et un échantillon de dossiers
  • les manuels de politiques et de procédures
  • la liste des approbations internes
  • les descriptions de poste des cadres supérieurs
  • les renseignements relatifs au modèle MIRA

 

Bien qu’il faille apporter d’autres améliorations au programme d’inspection du Service de la conformité de la conduite des affaires (voir la constatation 1 ci‑dessous), le personnel considère que l’OCRCVM a réalisé des progrès notables dans la mise en œuvre de procédures d’inspection de la convenance au client pour donner suite aux constatations du rapport d’inspection 2014. Le personnel a par ailleurs relevé un autre problème, qui est exposé dans la deuxième constatation de priorité moyenne ci‑dessous.

 

Constatation 1 – Procédures d’inspection

 

Le personnel a constaté que, compte tenu de l’importance de la convenance au client, les procédures n’offrent pas aux inspecteurs du Service de la conformité de la conduite des affaires un encadrement suffisamment pour :

 

  • examiner les comptes gérés de clients ayant une forte concentration dans des émetteurs ou des secteurs en particulier afin d’évaluer la convenance en vue de :
    • repérer les conseillers qui recommandent des produits à risque élevé pour tous les comptes gérés de clients lorsque les politiques et procédures du courtier membre en matière de détection, de gestion et de surveillance des sources de risques autres que celles visant les fonds d’investissement sont inadéquates
  • déterminer si les courtiers membres établissent la convenance des positions détenues dans le compte géré du client et si ce compte lui convient toujours lorsque surviennent certains événements déclencheurs
  • vérifier si les régimes de supervision des courtiers membres permettent d’évaluer adéquatement le portefeuille d’un client par rapport à son profil de risque et à ses paramètres de répartition des placements
  • examiner les renseignements sur le client obtenus par le courtier membre pour établir s’il est investisseur qualifié

 

Risques

 

En l'absence d'indications et de procédures claires et précises, le personnel du Service de la conformité de la conduite des affaires ne peut pas évaluer ou relever de façon uniforme les problèmes pertinents.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation et souscrivons pleinement aux observations faites dans le rapport au sujet de l’importance de la convenance au client. Les questions de convenance au client ont toujours été et demeurent au centre des processus d’inspection de notre Service de la conformité de la conduite des affaires. Par conséquent, nous avons apporté un certain nombre de modifications aux procédures d’inspection du service pour résoudre les points soulevés dans la constatation.

   Bien que l’examen de la concentration dans les comptes avec conseils des clients individuels fasse partie du module d’inspection de la conformité depuis un certain temps déjà, nous n’avons pas intégré au module d’inspection des comptes gérés l’examen de la concentration dans des émetteurs ou des secteurs. Nous avons ajouté dans nos procédures d’inspection et nos indications connexes l’obligation pour les inspecteurs du Service de la conformité de la conduite des affaires de sélectionner un échantillon de comptes gérés fortement concentrés (y compris dans des émetteurs ou des secteurs en particulier) afin d’évaluer la convenance au client.

   Nous avons ajouté dans nos procédures d’inspection et nos indications connexes l’obligation pour les inspecteurs du Service de la conformité de la conduite des affaires de repérer les conseillers qui recommandent des produits à risque élevé pour tous les comptes gérés de clients lorsque les politiques et les procédures du courtier membre en matière de détection, de gestion et de surveillance des sources de risques autres que celles visant les fonds d’investissement sont inadéquates.

   Nous avions déjà mis à jour avant la période d’inspection notre module d’inspection des comptes individuels en y ajoutant les critères du MRCC déclenchant une évaluation de la convenance. Nous avons aussi mis à jour notre module d’inspection des comptes gérés.

   À l’heure actuelle, nous vérifions si les régimes de supervision des courtiers membres permettent d’évaluer adéquatement le portefeuille d’un client par rapport à son profil de risque et à ses paramètres de répartition des placements. Toutefois, nous nous sommes concentrés sur les cas où le portefeuille semble comporter un risque plus élevé que celui indiqué dans le profil de risque du client. Lorsque les titres en portefeuille comportent un risque sensiblement moins élevé que celui indiqué dans le profil de risque du client, nous posons d’autres questions au courtier membre pour connaître les raisons de l’écart et vérifier si le client en a été informé. Nos procédures d’examen ont été mises à jour en conséquence.

 

Enfin, nous avons modifié les procédures du Service de la conformité de la conduite des affaires pour nous assurer que le formulaire de souscription est comparé au formulaire d’ouverture de compte au moment d’évaluer si le client est un investisseur qualifié, plutôt que de simplement recommander aux inspecteurs de procéder à cette comparaison.

 

Commentaires du personnel et suivi

Le personnel prend acte de la réponse de l’OCRCVM et n’a pas d’autres commentaires.

 

 

Constatation 2 – Liste des approbations

L’OCRCVM tient une liste des approbations qui indique les autorisations internes[5]. Le personnel a constaté ce qui suit :

  • le processus prévu pour approuver et mettre à jour au moins annuellement le document sur les autorisations internes était inadéquat
  • le processus de délégation de fonctions et de pouvoirs précis aux vice‑présidents et à d’autres dirigeants n’était pas suivi systématiquement.

 

Par conséquent, le personnel a trouvé des indices d’incohérences entre le document interne et les pratiques du Service de la conformité de la conduite des affaires.

 

Risques

 

Certains membres du personnel du Service de la conformité de la conduite des affaires pourraient ne pas avoir l’autorisation d’accorder des approbations, ce qui pourrait exposer l’OCRCVM à des risques imprévus, dont le risque que la validité d’une décision soit remise en question.

 

Priorité

Moyenne

 

Exigence

 

Veuillez décrire les mesures que prendra l’OCRCVM pour corriger la situation, en prenant soin d’indiquer le calendrier de mise en œuvre.

 

Réponse de l’OCRCVM

 

Nous prenons acte de la constatation. Nous soulignons que la liste a été établie par le Bureau de l’avocat général et approuvée par le président et chef de la direction. L’effet conjugué du règlement général de l’OCRCVM et des conditions d’engagement du président et chef de la direction** est que ce dernier jouit des pleins pouvoirs pour gérer les activités et les affaires de l’OCRCVM, y compris celui de confier des fonctions aux vice‑présidents et à d’autres dirigeants, dans une structure organisationnelle qui établit les responsabilités en matière de rapports et de reddition de comptes.

 

Dorénavant, nous prouverons précisément l’approbation de la liste par le président et chef de la direction, car elle constitue une délégation de pouvoirs et de fonctions aux vice‑présidents, aux autres dirigeants et aux membres du personnel qui y sont indiqués.

 

Par ailleurs, bien que nous reconnaissions que la liste des approbations n’avait pas été mise à jour en date du 31 décembre 2014 selon notre calendrier annuel établi, lors de la mise à jour d’août 2015, nous avons constaté qu’aucune modification n’était requise.

 

En ce qui concerne les pratiques du Service de la conformité de la conduite des affaires, nous avons conclu que, dans la grande majorité des cas où l’organisme doit donner son approbation, il serait possible de l’obtenir (ce qui est habituellement le cas) au moment de la présentation d’une nouvelle demande d’adhésion ou d’un changement dans le modèle d’entreprise d’un courtier membre. C’est le vice‑président, le Service de la conformité de la conduite des affaires ou le vice‑président régional qui approuve les demandes d’adhésion et les changements apportés aux modèles d’entreprise. Si l’examen de la conformité d’un courtier membre révèle des irrégularités relativement à l’un des éléments indiqués dans la liste des approbations, le vice‑président, le Service de la conformité de la conduite des affaires ou le vice‑président régional examine et approuve également le rapport d’inspection qui en fait état.

 

Toutefois, nous avons établi que dans certains cas, les dénominations commerciales soumises par les courtiers membres conformément à la règle 29.7A(9) des courtiers membres n’étaient pas approuvées par le vice‑président compétent. Nous avons révisé les procédures du Service de la conformité de la conduite des affaires afin que, dorénavant, le vice‑président, le service ou le vice‑président régional donne dans tous les cas son approbation.

**L’article 8.3 du règlement général prévoit que « Le Conseil nomme un président, qui est également chef de la direction. Le président a les pouvoirs et fonctions que détermine le Conseil. » L’article 8.4 du règlement général prévoit qu’un vice‑président a les pouvoirs et fonctions que le Conseil ou le président détermine, et les articles 8.5 et 8.6 produisent le même effet à l’égard du secrétaire et des autres dirigeants. Les modalités d’emploi du président et chef de la direction de l’OCRCVM (approuvées par le conseil) comprennent la pleine responsabilité de la gestion des activités et des affaires de l’OCRCVM et la définition des pouvoirs et fonctions des vice‑présidents (y compris des premiers vice‑présidents), du secrétaire et des autres dirigeants.

 

Commentaires du personnel et suivi

Le personnel prend acte des mesures prises par l’OCRCVM pour corriger la situation. Il s’attend à ce que, dorénavant, l’OCRCVM mette en place un processus officiel pour gérer l’approbation et la mise à jour du document, ainsi que la délégation de fonctions et de pouvoirs précis.

 


[1] Les processus et les activités sont décrits plus en détail ci-après.

[2] Les autorités de surveillance continuent de superviser ces secteurs au moyen de l’information que l’OCRCVM doit leur fournir en continu conformément aux décisions de reconnaissance et en tenant des réunions périodiques et ponctuelles avec le personnel de l’OCRCVM.

[5] À l’égard des dispositions du règlement général et des règles qui n’indiquent aucune personne ni aucun organisme en particulier comme ayant compétence pour les appliquer.

 Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.