Êtes-vous prêt pour la ligne directrice E-23?

La ligne directrice E-23, Gestion du risque de modélisation à l’échelle de l’entreprise dans les institutions de dépôts, du Bureau du surintendant des institutions financières (« BSIF ») est entrée en vigueur en septembre 2017. Classée dans la catégorie des « saines pratiques commerciales et financières », elle définit les attentes du BSIF en matière de politiques et de pratiques saines liées à la gestion du risque de modélisation à l’échelle de l’entreprise.

Ce qu’il y a de nouveau en 2025 – Les modèles utilisés par les sociétés de services financiers continuent d’augmenter en complexité, s’appuyant sur des ensembles de données plus importants et plus variés, ainsi que sur des analyses avancées, comme l’apprentissage automatique et l’intelligence artificielle (« IA »), et ils sont de plus en plus intégrés aux opérations. Le fait que les décideurs s’appuient davantage, directement ou indirectement, sur les résultats des modèles contribue également à amplifier le risque de modélisation. Dans ce contexte, le BSIF annonçait en mai 2022 son intention de réviser la ligne directrice E-23 pour :

1. Étendre son champ d’application à d’autres institutions financières fédérales (« iff »), dont les sociétés d’assurance
2. Prendre en compte les risques de modélisation émergents
3. Fournir des précisions sur la façon dont les lignes directrices s’appliqueront

D’après les commentaires reçus au cours de la période de consultation de mai 2022, une mise à jour de la version à l’étude de la ligne directrice a été publiée en novembre 2023. La version définitive a été publiée en septembre 2025 et entrera en vigueur le 1^er mai 2027. 

Bien que les assureurs, les réassureurs et les sociétés de secours mutuel n’aient pas été assujettis à la ligne directrice E-23 jusqu’à présent, l’utilisation de modèles fait depuis longtemps partie intégrante du secteur de l’assurance dont les activités exigent la quantification de l’incidence d’événements futurs incertains en s’appuyant généralement sur des compétences spécialisées en matière de modélisation et sur le jugement professionnel des actuaires. Par conséquent, toutes les IFF devraient déjà avoir mis en place un cadre de gestion du risque de modélisation (« GRM »), ce qui ne signifie pas que ces institutions doivent minimiser les répercussions de leur inclusion dans le champ d’application de la ligne directrice E-23. Voici quelques éléments importants à prendre en considération :

Comme il est indiqué ci-dessus, l’utilisation des modèles fait depuis longtemps partie intégrante du secteur de l’assurance. Il est facile d’identifier les « grands » modèles, ceux utilisés pour les calculs actuariels (p. ex., tarification, information financière et gestion des risques et du capital). Toutefois, comme il est indiqué dans la section A.4 de la version de mai 2027, la notion de modèle inclut les outils qui, lors du traitement des données,appliquent des techniques ou des hypothèses théoriques, empiriques ou statistiques pour générer des résultats. Cela signifie que l’entité doit déterminer si son cadre actuel de GRM prend en compte tous les outils susceptibles de correspondre à la définition du BSIF. L’adoption de l’IA entraîne d’importantes répercussions sur bon nombre de modèles, car chaque cas d’utilisation distinct d’un modèle d’IA sous-jacent doit être saisi et évalué séparément.

Une fois que l’ensemble des modèles de l’organisation est bien défini, tout modèle dont l’incidence sur le profil de risque de l’entité est non négligeable entre dans le champ d’application du cadre de GRM. Il peut s’agir, entre autres, d’un tableur utilisé pour estimer les ajustements qui s’écartent des résultats des « grands » modèles actuariels.

Qu’en est-il des modèles utilisés pour soutenir l’exploitation et notamment la prise de décisions en matière de souscription, ou pour éclairer l’orientation stratégique, comme les tableaux de prévisions des ventes et des revenus? La méthode utilisée pour déterminer les modèles visés par la ligne directrice doit, au minimum :

a) retracer les dépendances du modèle en amont et en aval pour les rapports externes et internes

b) Examiner les processus et outils clés qui les soutiennent

c) Évaluer la manière dont les modèles identifiés aux points a) et b) modifient le profil de risque de l’organisation

On s’attend à ce que le volume de modèles nécessitant un suivi augmente considérablement. Les assureurs doivent donc examiner les défis liés à la tenue d’un inventaire exhaustif et à jour de tous les différents types de modèles et cas d’utilisation.

Les sections A.4 et A.5 de la version de mai 2027de la ligne directrice E-23 définissent certains rôles au sein du cadre de GRM, ainsi que les résultats prévus du BSIF pour un cadre efficace de GRM. La section B présente les principes sous-jacents d’un cadre efficace de GRM, dont :

• une approche fondée sur les risques qui tient compte de la propension de l’organisation à prendre des risques de modélisation et du cadre général plus large de gestion des risques et de gouvernance de l’institution
• le fait de couvrir l’ensemble du cycle de vie des modèles au sens de la section A.4. Cela comprend le développement des modèles, le suivi et la mise hors services des modèles, ainsi que la gestion des modifications
• le fait de tenir à jour un inventaire des modèles qui fournit les informations nécessaires pour soutenir les activités opérationnelles du cadre de GRM.

Or, le suivi des modèles aux différentes étapes du cycle de gestion peut s’avérer difficile et représenter un défi de grande taille compte tenu du nombre de modèles à suivre et de l’éventail d’utilisateurs et de responsables des modèles. Certains assureurs investissent déjà dans des solutions technologiques qui aident non seulement la gestion de l’inventaire, mais également la gestion du flux des travaux associé aux activités de gestion des risques.

Comme la gestion des modifications met l’accent sur les activités d’approbation et de validation – activités qui mobilisent souvent beaucoup de temps et de ressources –, l’élargissement du champ d’application pourrait entraîner des problèmes de capacité au sein des organisations.

Aux fins de l’évaluation de leur état de préparation en matière de conformité, les assureurs devraient examiner leur cadre de GRM en fonction des attentes établies par le BSIF dans la version de mai 2027 de la ligne directrice. Ainsi, la fonction de « responsable » peut, selon les entités, être associée à différentes définitions des fonctions selon la ligne directrice E-23, voire à une combinaison de fonctions. Autre exemple, les fonctions d’examinateur et d’approbateur peuvent être combinées dans le cadre actuel, alors que le BSIF préférerait qu’elles soient séparées. Il pourrait s’avérer nécessaire de mettre à jour les structures de gouvernance, ou de mettre en place des mécanismes, pour garantir l’indépendance et gérer les conflits d’intérêts.

La version 2017 de la ligne directrice E-23 établit une distinction entre les attentes à l’égard des institutions de dépôt autorisées à utiliser un modèle interne (IMI) concernant le calcul des fonds propres réglementaires et celles à l’égard des institutions n’ayant pas obtenu d’approbation du modèle interne, c’est-à-dire celles qui sont autorisées à utiliser l’approche standard (IAS). Une telle distinction est également censée distinguer les « grandes institutions complexes » des « institutions plus petites et plus simples ». La version de mai 2027 de la ligne directrice E-23, qui s’appliquera également aux assureurs et à d’autres IFF, supprime cette distinction et précise que les attentes réglementaires sont proportionnelles au risque perçu et à des facteurs tels que la taille, le profil du modèle de risque, la nature et la complexité des activités de l’organisation, ainsi que les risques de perturbation liés aux marchés financiers pris dans leur ensemble1. Néanmoins, les petits assureurs et les petites sociétés de secours mutuel pourraient avoir du mal avec certains aspects opérationnels de leur cadre de GRM et devront peut-être envisager d’externaliser une ou plusieurs activités (par exemple, validation indépendante des modèles hautement spécialisés).

Les outils et les approches utilisés par les assureurs pour gérer leurs activités ont évolué à un rythme accéléré depuis la publication initiale de la ligne directrice E-23. Des faits nouveaux, dont l’adoption de l’IFRS 17, ont également accru la complexité et la spécialisation des modèles. La création de nouveaux modèles stochastiques pour répondre aux exigences de l’IFRS 17 relatives à l’évaluation des options et garanties financières intégrées dans les produits d’assurance en est un bon exemple. Comme il faut souvent du temps pour développer de nouveaux ensembles de compétences ou renforcer les compétences existantes, cela pourrait accroître, du moins à court terme, la dépendance de certaines institutions à l’égard de tiers. De plus, le recours à des techniques de traitement avancées – analyses, apprentissage automatique, intelligence artificielle et autres – peut rendre les résultats plus difficiles à valider et à expliquer. Le BSIF a revu la façon dont les entités devraient évaluer et gérer le risque de modélisation tout en reconnaissant la nécessité du principe de proportionnalité quant à la manière dont des institutions de diverses tailles et complexités répondent à des risques similaires.

Le contexte de la gestion du risque de modélisation pour les sociétés d’assurance continue d’évoluer. La version de mai 2027 de la ligne directrice E-23, qui a été publiée en septembre 2025, étendra son champ d’application aux assureurs et définira les attentes du BSIF concernant la gestion du risque de modélisation.

Les conseillers de KPMG peuvent aider les organisations à évaluer leur état de préparation et à faire en sorte que leurs pratiques soient conformes aux nouvelles exigences de la ligne directrice. Au-delà de la conformité, nous proposons des pratiques exemplaires qui peuvent améliorer leurs résultats en matière de GRM, sans accroître le fardeau administratif. Nos professionnels en modélisation et gestion du risque connexe possèdent les connaissances, les compétences et l’expérience nécessaires pour soutenir la mise en place des composantes du cadre de GRM en faisant appel à des technologies de pointe. Quelle que soit leur taille, les organisations devraient profiter de l’occasion pour revoir leur inventaire de modèles, ainsi que leur cadre et leur processus de modélisation afin d’être en mesure de traiter efficacement le risque de modélisation dans le cadre de leur gestion globale des risques.