Cadre réglementaire et gestion des risques

Environnement réglementaire

La Loi sur la compensation et le règlement attribue à la Banque du Canada la responsabilité de surveiller les systèmes de compensation et de règlement afin de contrôler le risque systémique et le risque des systèmes de paiements.

Lynx a été désigné comme étant d’importance systémique en vertu de la Loi et, par conséquent, Paiements Canada est assujettie à la surveillance du gouverneur de la Banque du Canada pour Lynx. La Banque du Canada a adopté les principes pour les infrastructures des marchés financiers dans le cadre de ses normes de gestion des risques pour les infrastructures des marchés financiers systémiques. Les normes s’appliquent à la gestion et à l’exploitation de Lynx.

Les exigences réglementaires au Canada ont évolué en fonction des pratiques exemplaires internationales. En 2015, la Banque du Canada a publié les Critères et normes de gestion des risques applicables aux systèmes de paiement importants. Le SACR a été désigné comme système de paiement important en 2016, ce qui a entraîné une surveillance accrue de la part de la Banque du Canada.

Le Document d’information sur Lynx et le Document d’information sur le SACR visent à offrir aux membres de Paiements Canada, aux participants de Lynx et du SACR et au public une compréhension générale de la gouvernance, du fonctionnement, du cadre de gestion des risques et de l’approche de Paiements Canada en ce qui concerne le respect des normes de gestion des risques de la Banque du Canada.

Cybersécurité

La cybersécurité mobilise de plus en plus l’attention. Les milieux internationaux sont plus conscients des risques de cyberattaque. Compte tenu du rôle que jouent les infrastructures de marchés financiers dans la promotion de la stabilité du système financier, le Comité sur les paiements et les infrastructures de marché (CPIM) et le Conseil de l’Organisation internationale des commissions de valeurs (OICV) ont publié, en décembre 2015, un document de consultation avec des orientations visant la cyberrésilience des infrastructures de marchés financiers. Paiements Canada a travaillé de près avec la Banque du Canada au cours de la dernière année à l’élaboration des normes pertinentes pour la cyberrésilience des IMF et a planifié des initiatives pour améliorer son approche cybernétique. Toujours en 2015, le Gouvernement du Canada a annoncé son intention d’envisager une nouvelle réglementation de certaines infrastructures, y compris les systèmes de Paiements Canada, qui sont considérés comme des « cybersystèmes essentiels ». Paiements Canada continuera de travailler avec le gouvernement au fur et à mesure de l’évolution de cette initiative.

Stratégie cyber sécurité résilience 2022-2024

Gestion des risques

Paiements Canada a un solide cadre pour la gestion globale de ses risques. Le risque est l’incertitude qui entoure les événements et les résultats futurs. Il est présent dans tout ce que nous faisons et, par conséquent, la gestion des risques revêt une importance critique pour permettre à Paiements Canada d’atteindre son objectif de base, de concrétiser sa vision et d’appliquer son plan stratégique.

La politique de Paiements Canada est de gérer le risque selon un appétit pour le risque approuvé par le Conseil d’administration. Pour cela, Paiements Canada se donne des stratégies d’atténuation du risque – probabilité, impact et vélocité – et maximise les effets positifs des occasions stratégiques.

Le processus formel de gestion des risques de Paiements Canada est surveillé par son Conseil d’administration, mis en œuvre par la direction et appliqué par tout le personnel. La Politique de gestion du risque de l’entreprise (GRE) approuvée par le Conseil fixe les rôles et les responsabilités pour la gestion des risques et la gouvernance. Paiements Canada suit une approche de « ligne de défense », qui fait une distinction entre trois groupes ou « lignes » nécessaires pour appuyer une gestion efficace des risques. La première ligne de défense est les unités opérationnelles, qui assurent la gestion des risques au jour le jour – les fonctions qui sont propriétaires et assurent la gestion des risques pertinents dans leur domaine de responsabilité. La deuxième ligne accomplit les fonctions de surveillance; elle comprend la surveillance de la gestion des risques et de la conformité. La troisième ligne est l’assurance indépendante, qui comprend les audits internes et externes et d’autres donneurs d’assurance indépendants.

L’objectif de la GRE à Paiements Canada consiste à appuyer la prise de décisions de façon à réaliser l’objectif de base, à concrétiser la vision et à appliquer le plan stratégique par une gestion globale et intégrée de tous les risques importants à l’échelle de l’organisation.

Les risques qui s’offrent à Paiements Canada sont classés en quatre catégories de risques : opérationnel, stratégique, financier et règlement.

  • Le risque opérationnel découle des processus, des technologies de l’information, des personnes, des politiques ou de systèmes inadéquats ou qui n’ont pas fonctionné, ou encore d’événements externes. Paiements Canada tient compte du risque opérationnel de toutes sources, internes comme externes.
  • Le risque stratégique touche la stratégie d’affaires et les objectifs stratégiques de Paiements Canada qui en découlent.
  • Le risque financier a trait aux rapports financiers, au marché, aux liquidités et au risque de crédit.
  • Le risque de règlement est le risque que le règlement dans les systèmes de paiement exploités par l’ACP ne se s’effectue pas comme prévu, et déclenche la contagion d’un risque de crédit et/ou de liquidité pour les membres de Paiements Canada.

Et puisque de nombreux risques peuvent porter atteinte à la réputation de Paiements Canada, il faut faire une évaluation de l’impact que tous les risques pourraient avoir sur notre réputation.

Pour ce qui est du Lynx, la gestion des risques est implicite dans le système; les paiements doivent franchir des contrôles de risque avant d’être approuvés. En outre, pour la gestion du risque, le Règlement administratif sur le Lynx et les Règles du Lynx imposent des exigences aux participants, fixent des règles et des procédures sur le défaut et établissent un Comité d’intervention d’urgence du Lynx pour la gestion des événements opérationnels.

Quant à l’organisation même, Paiements Canada maintient ses pratiques de gestion des risques selon la Politique de GRE approuvée par le Conseil au début de 2015 et revue tous les deux ans.