Êtes-vous prêt pour la ligne directrice E-23?

La ligne directrice E-23, Gestion du risque de modélisation à l’échelle de l’entreprise dans les institutions de dépôts, du Bureau du surintendant des institutions financières (« BSIF ») est entrée en vigueur en septembre 2017. Classée dans la catégorie des « saines pratiques commerciales et financières », elle définit les attentes du BSIF en matière de politiques et de pratiques saines liées à la gestion du risque de modélisation à l’échelle de l’entreprise.

Ce qu’il y a de nouveau en 2025 – Les modèles utilisés par les sociétés de services financiers continuent d’augmenter en complexité, s’appuyant sur des ensembles de données plus importants et plus variés, ainsi que sur des analyses avancées, comme l’apprentissage automatique et l’intelligence artificielle (« IA »), et ils sont de plus en plus intégrés aux opérations. Le fait que les décideurs s’appuient davantage, directement ou indirectement, sur les résultats des modèles contribue également à amplifier le risque de modélisation. Dans ce contexte, le BSIF annonçait en mai 2022 son intention de réviser la ligne directrice E-23 pour :

1. Étendre son champ d’application à d’autres institutions financières fédérales (« iff »), dont les sociétés d’assurance
2. Prendre en compte les risques de modélisation émergents
3. Fournir des précisions sur la façon dont les lignes directrices s’appliqueront

D’après les commentaires reçus au cours de la période de consultation de mai 2022, une mise à jour de la version à l’étude de la ligne directrice a été publiée en novembre 2023. La version définitive devrait être publiée d’ici septembre 2025 et entrerait en vigueur un an après sa publication.

Bien que les assureurs, les réassureurs et les sociétés de secours mutuel n’aient pas été assujettis à la ligne directrice E-23 jusqu’à présent, l’utilisation de modèles fait depuis longtemps partie intégrante du secteur de l’assurance dont les activités exigent la quantification de l’incidence d’événements futurs incertains en s’appuyant généralement sur des compétences spécialisées en matière de modélisation et sur le jugement professionnel des actuaires. Par conséquent, toutes les IFF devraient déjà avoir mis en place un cadre de gestion du risque de modélisation (« GRM »), ce qui ne signifie pas que ces institutions doivent minimiser les répercussions de leur inclusion dans le champ d’application de la ligne directrice E-23. Voici quelques éléments importants à prendre en considération :

La définition présentée à la section 2 de la ligne directrice E-23 est très large. Il est facile d’identifier les « grands » modèles, ceux utilisés pour les calculs actuariels (p. ex., tarification, information financière et gestion des risques et du capital). Toutefois, en vertu de la version à l’étude actuelle de la ligne directrice E-23, la notion de modèle inclut les outils qui, lors du traitement des données, appliquent des techniques ou des hypothèses théoriques, empiriques ou statistiques pour générer des résultats. Cela signifie que l’entité doit déterminer si son cadre actuel de GRM prend en compte tous les outils susceptibles de correspondre à la définition du BSIF. L’adoption de l’IA entraîne d’importantes répercussions sur bon nombre de modèles, car chaque cas d’utilisation distinct d’un modèle d’IA sous-jacent doit être saisi et évalué séparément.

Une fois que l’ensemble des modèles de l’organisation est bien défini, tout modèle susceptible d’avoir une incidence importante sur le profil de risque de l’entité entre dans le champ d’application du cadre de GRM. Il peut s’agir, entre autres, d’un tableur utilisé pour effectuer des ajustements qui s’écartent des résultats des « grands » modèles actuariels.

Qu’en est-il des modèles utilisés pour soutenir l’exploitation et notamment la prise de décisions en matière de souscription, ou pour éclairer l’orientation stratégique, comme les tableaux de prévisions des ventes et des revenus? La méthode utilisée pour déterminer les modèles visés par la ligne directrice doit, au minimum :

1. Retracer les dépendances du modèle en amont et en aval, à partir de rapports externes et de rapports de gestion
2. Examiner les processus et outils clés qui les soutiennent
3. Évaluer la manière dont les modèles identifiés aux points a) et b) modifient le profil de risque de l’organisation

On s’attend à ce que le volume de modèles nécessitant un suivi augmente considérablement. Les assureurs doivent donc examiner les défis liés à la tenue d’un inventaire exhaustif et à jour de tous les différents types de modèles et cas d’utilisation.

Les sections 2 et 3 de la dernière version de la ligne directrice E-23 définissent certains rôles au sein du cadre de GRM, ainsi que les résultats prévus du BSIF relativement aux IFF. Le cadre de GRM doit couvrir l’ensemble du cycle de gestion des modèles décrit à la section 5, de la mise au point à la désactivation, en passant par la gestion des modifications. Pour assurer l’efficacité du cadre, il est essentiel de tenir à jour un inventaire des modèles. Or, le suivi des modèles aux différentes étapes du cycle de gestion peut s’avérer difficile et représenter un défi de grande taille compte tenu du nombre de modèles à suivre et de l’éventail d’utilisateurs et de responsables des modèles. Certains assureurs investissent déjà dans des solutions technologiques qui aident non seulement la gestion de l’inventaire, mais également la gestion du flux des travaux associé aux activités de gestion des risques. Comme la gestion des modifications met l’accent sur les activités d’approbation et de validation – activités qui mobilisent souvent beaucoup de temps et de ressources –, l’élargissement du champ d’application pourrait entraîner des problèmes de capacité au sein des organisations.

Il est recommandé que les entités examinent leur cadre de GRM en fonction de la structure établie par le BSIF à la section 5. Ainsi, la fonction de « responsable » peut, selon les entités, être associée à différentes définitions des fonctions selon la ligne directrice E-23, voire à une combinaison de fonctions. Autre exemple, les fonctions d’examinateur et d’approbateur peuvent être combinées dans le cadre actuel, alors que le BSIF préférerait qu’elles soient séparées. Si elles sont combinées, le BSIF exige que des mécanismes soient mis en place pour garantir l’indépendance et gérer les conflits d’intérêts. Ces mesures devront être prises en compte dans la structure de gouvernance et la documentation correspondante du cadre de GRM.

Actuellement, la ligne directrice E-23 établit une distinction entre les attentes à l’égard des institutions autorisées à utiliser un modèle interne (IMI) concernant le calcul des fonds propres réglementaires et celles à l’égard des autres institutions autorisées à utiliser l’approche standard (IAS). Une telle distinction est également censée distinguer les « grandes institutions complexes » des « institutions plus petites et plus simples ». Toutefois, compte tenu de l’élargissement à venir de l’application de la ligne directrice E-23 aux assureurs et autres IFF ayant des cadres de fonds propres réglementaires différents, la version à l’étude de la ligne directrice de novembre 2023 fait explicitement référence au fait que la GRM doit être proportionnelle à la taille, à la complexité et au profil du modèle de risque de l’organisation. Néanmoins, les petits assureurs et les petites sociétés de secours mutuel auront probablement du mal à exploiter leur cadre de GRM et devront peut-être envisager d’externaliser une ou plusieurs activités (validation indépendante des modèles, contrôle de la qualité, etc.).

Les outils et les approches utilisés par les assureurs pour gérer leurs activités ont évolué à un rythme accéléré depuis la publication initiale de la ligne directrice E-23. Des faits nouveaux, dont l’adoption de l’IFRS 17, ont également accru la complexité et la spécialisation des modèles. La création de nouveaux modèles stochastiques pour répondre aux exigences de l’IFRS 17 relatives à l’évaluation des options et garanties financières intégrées dans les produits d’assurance en est un bon exemple. Comme il faut souvent du temps pour développer de nouveaux ensembles de compétences ou renforcer les compétences existantes, cela pourrait accroître, du moins à court terme, la dépendance de certaines institutions à l’égard de tiers. De plus, le recours à des techniques de traitement avancées – analyses, apprentissage automatique, intelligence artificielle et autres – peut rendre les résultats plus difficiles à valider et à expliquer, et c’est pourquoi les entités doivent revoir leur façon d’évaluer et de gérer le risque de modélisation. La tâche du BSIF, qui doit intégrer ces faits nouveaux dans l’optique du principe de proportionnalité selon lequel l’applicabilité de la ligne directrice en matière de gestion des risques est proportionnelle à la taille et à la complexité de l’institution, est de taille.

Le contexte de la gestion du risque de modélisation pour les sociétés d’assurance continue d’évoluer. La finalisation de la mise à jour concernant la ligne directrice E-23, qui est attendue avant la fin de l’année, étendra son champ d’application aux assureurs et définira les attentes du BSIF concernant la gestion du risque de modélisation. Les conseillers de KPMG peuvent aider les organisations à évaluer leur état de préparation et à faire en sorte que leurs pratiques soient conformes aux nouvelles exigences de la ligne directrice. Au-delà de la conformité, nous proposons des pratiques exemplaires qui peuvent améliorer leurs résultats en matière de GRM, sans accroître le fardeau administratif. Nos professionnels en modélisation et gestion du risque connexe possèdent les connaissances, les compétences et l’expérience nécessaires pour soutenir la mise en place des composantes du cadre de GRM en faisant appel à des technologies de pointe. Quelle que soit leur taille, les organisations devraient profiter de l’occasion pour revoir leur inventaire de modèles, ainsi que leur cadre et leur approche de modélisation afin d’être en mesure de traiter efficacement le risque de modélisation dans le cadre de leur gestion globale des risques.