16. CONFORMITÉ TI (DESJARDINS)
Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un
dénominateur commun l’ensemble des exigences :
52‐109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers
CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de
gestion des TI
ISO 27002 : norme des meilleures pratiques des domaines de sécurité de
l’information, tels :
La gestion des accès
La gestion des incidents
Le plan de continuité
La sécurité physique et environnementale
La gestion de l‘exploitation et des télécommunications
L’acquisition, développement et maintenance des systèmes d’information
16
17. CONFORMITÉ TI (DESJARDINS)
1500 contrôles 286 contrôles Desjardins!
Avant Après
L’approche traditionnelle qui traite les « exceptions » engendre de
nombreux programmes de conformité distincts qui font en sorte que
la gestion des exigences selon plusieurs règlementation n’est pas
uniforme ni efficace
Chevauchement
Une intégration permettant de réduire les coûts, la complexité et la
charge de travail liés aux efforts de conformité est nécessaire; de
grandes économies de coûts peuvent être réalisées lorsque le
chevauchement est évité et qu’une définition commune des
exigences est appliquée
Harmonisation
17
19. MODÈLE DES 3 LIGNES DE DÉFENSE
«First line of defense »
§ «Owner»of the risk management process
§
§Loss data tracking
BU Process
and Risk
Owners
« »
§
business line compliance.
§ Validates the overall risk framework
§ Provides assurance that the risk management process is functioning as
BU Process
and Risk
Owners
BU Process
and Risk
Owners
BU Process
and Risk
Owners
• Interprétation et élaboration
• Surveillance et information
Executive Management /
Boards
Perform
Oversight
Haute direction/
Conseil d’administration
Surveillance
Première ligne de défense
Identification, gestion, atténuation et
notification des risques
Propriétaires
des risques et
des processus
de l’UF*
Gestion des
risques et
conformité
§
business line compliance.
§ Validates the overall risk framework
§ Provides assurance that the risk management process is functioning as
Audit interne
Troisième ligne de défense
Tests et vérification
Fonctions de
gouvernance
et de contrôle
• Conception et facilitation
• Surveillance et information
Deuxième ligne de défense
Propriétaires
des risques et
des processus
de l’UF
Propriétaires
des risques et
des processus
de l’UF
Propriétaires
des risques et
des processus
de l’UF
* Unité fonctionnelle
19
20. 1ÈRE LIGNE : OPÉRATIONS
Première ligne de défense
Composition
Gestionnaires opérationnels
qui endossent et gèrent les
risques et qui mettent en
œuvre des mesures
correctives permettant de
remédier aux déficiences des
processus et des contrôles
Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013
Parmi les rôles et les responsabilités :
Mettre en place des dispositifs de contrôle interne efficaces et mettre en œuvre au quotidien
des procédures de gestion des risques et de contrôle
Identifier, évaluer, contrôler et atténuer les risques, piloter l'élaboration et la mise en œuvre
des règles et procédures internes et s'assurer que les activités sont compatibles avec les
objectifs fixés
Définir et mettre en place des procédures de contrôle détaillées et superviser l'application de
ces procédures par leurs employés
S’assurer que des contrôles de gestion et de supervision adéquats sont en place pour garantir
la conformité et mettre en évidence les contrôles défaillants, les processus inadéquats et les
événements inattendus
20
21. 2ÈME LIGNE : «SURVEILLANCE»
Composition
Fonction (et/ou comité) de gestion
des risques qui facilite et surveille la
mise en œuvre de pratiques
efficaces de gestion des risques par
la direction opérationnelle
Fonction de conformité chargée de
surveiller divers risques spécifiques
tels que le non‐respect des lois et
des réglementations en vigueur
Fonction de contrôle de gestion qui
d’une part effectue le suivi des
risques financiers et de l’information
financière et, d’autre part, assiste
dans la conception et surveille
l’efficacité des contrôles non
financiers
Deuxième ligne de défense
Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013
Parmi les rôles et les responsabilités :
Soutenir les orientations de la direction, définir les rôles et les responsabilités et fixer des objectifs relatifs à leur
mise en œuvre
Élaborer des référentiels de gestion des risques
Identifier les enjeux connus et émergents
Expliciter les évolutions de l'appétit et de la tolérance au risque de l'organisation
Aider la direction à mettre au point des processus et des contrôles afin de gérer les risques et les enjeux
Émettre des encadrements et donner des formations sur les processus de gestion des risques
Faciliter et surveiller la mise en œuvre de pratiques efficaces de gestion des risques par la direction opérationnelle
(1ère ligne de défense)
Alerter la direc on opéra onnelle à propos des enjeux émergents et de l'évolu on de la réglementa on ou des
scénarios de risque
Surveiller l'adéquation et l'efficacité du contrôle interne, l'exactitude et l‘intégralité de l’information, la conformité
aux lois et aux réglementations, et la correction des déficiences en temps opportun
21
23. AUTRES PARTIES PRENANTES
23
Autres parties prenantes
Composition
Auditeurs externes,
régulateurs et autres organes
externes qui peuvent jouer un
rôle important dans le
dispositif global de
gouvernance et de contrôle
de l’organisation
Parmi les rôles et les responsabilités :
Fournir une assurance aux parties prenantes de l’organisation (ou aux membres de la
coopérative) , notamment à ses organes de gouvernance
Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013
27. Le modèle des 3 lignes de défense
L’approche proposée favorise une gestion de la performance des activités du Mouvement Desjardins tout
permettant de répondre aux exigences d’agrément en risque opérationnel
Modèle générique de l’IIA(1)
1LDD2LDD3LDD
Identification des risques des processus dont ils sont
propriétaires
Conception et mise en œuvre des contrôles internes
Gestion et atténuation des risques
Mesure, suivi et reddition des risques et de l’efficacité
des contrôles (attestation)
Conception du dispositif/cadre de gestion des risques
Mise en place des encadrements (politiques, normes, etc.)
Soutien, conseil et formation de la 1ère ligne de défense
Revue critique des activités de gestion des risques de la
1ère ligne de défense
Reddition consolidée à la haute direction et au CA afin de
soutenir leur responsabilité de surveillance
Revue indépendante du dispositif/cadre de gestion des
risques(2)
Évaluation périodique et objective des activités des 1ère
et 2ème lignes de défense
Application chez Desjardins
Désigne les secteurs d’affaires et les fonctions de soutien qui
sont les véritables propriétaires de la gestion des opérations et des
risques associés
Désigne les fonctions de gestion de risque, de conformité et de
contrôle qui ont la responsabilité d’encadrer, d’outiller et de soutenir
les activités de gestion de risque de la 1ère ligne de défense et de
réaliser une revue critique de ses travaux (Bureau du chef de la
gestion des risques, Bureau du chef de la conformité, DP
Gouvernance financière, DP Risque et Conformité TI, Actuaire en
chef)
Note: Les fonctions de soutien ont toutes une responsabilité
d’encadrement des opérations de l’organisation. Cette responsabilité ne
font pas d’elles une 2ième ligne de défense.
Désigne le Bureau de la Surveillance du Mouvement Desjardins
qui est responsable de réaliser une évaluation périodique,
indépendante et objective des activités des 1ère et 2ième lignes de
défense
Les bonnes pratiques suggèrent une approche de gestion des opérations basée sur un alignement par processus, une meilleure
gestion des données et la mise en place du modèle des 3 lignes de défense. À l’image des banques canadiennes, Desjardins devrait
donc opter pour le modèle des 3 lignes de défense.
En prenant cette décision, Desjardins répondra aux exigences de la demande d’agrément pour le Risque Opérationnel
27
(1) Inspiré d’une prise de position publiée par l’Institut des auditeurs internes (IIA) en janvier 2013 : Les trois lignes de maîtrise, pour une gestion des
risques et
un contrôle efficace.
(2) L’IIA utilise le concept de gestion des risques dans un sens large et global qui regroupe les domaines de la gestion des risques, de la conformité et
du
contrôle interne.
28. Définition des rôles génériques requis pour instaurer une gestion par processus, aligner les rôles et
responsabilités en matière de gestion des risques, de la conformité et des contrôles sur le modèle des 3 lignes de
défense et optimiser la 2e ligne de défense :
(2) Vue partielle de la 2LDD: vue axée sur le domaine du risque opérationnel
(3) Conformité, Gouvernance financière, Criminalité financière, Impartition, Continuité, Technologies et Qualité des données de risque
1LDD
2LDD(2)
Propriétaire de processus
(1 seul par processus)
Mandataire
(1 ou + par processus)
Coordonnateur RCC
(Risque – Conformité – Contrôle)
Responsables de Programmes
experts(3)
Intégrateur RCC
(Risque – Conformité – Contrôle)
3LDD
Audit interne
Responsable de soutenir le propriétaire et le mandataire dans la gestion des RO du processus,
d’assurer la cohérence avec la performance globale attendue du processus et de faire les liens
nécessaires afin de soutenir les programmes experts
Imputable de la performance du processus, il travaille avec ses mandataires et son équipe pour
assurer le développement cohérent du processus en lien avec les besoins du membre et la vision
stratégique Mouvement
Responsable d’assurer la gestion d’un programme expert spécifique dans une perspective
Mouvement ainsi que de soutenir et d’outiller le coordonnateur RCC et la 1LDD dans l’application et
le suivi des activités propres à son programme
Responsable d’assurer la vision d’ensemble en matière de risque, de conformité et de contrôle et
de produire le profil de risque opérationnel du Mouvement Desjardins
Responsable de la performance de son périmètre afin d’atteindre les cibles fixées par le
propriétaire et assurer la bonne tenue des opérations
Évaluation indépendante, périodique et objective de la 1LDD et de la 2LDD
GESTIONPARPROCESSUS
EXPERTGPP
Définition des rôles génériques 3LDD MVT
28