Quelle est la solidité du cadre de gestion des risques de votre régime de retraite?
Communiqué spécial – le 7 novembre 2024
La dernière ligne directrice de l’ACOR aide les administrateurs de régimes à gérer les risques et à s’acquitter de leurs responsabilités fiduciaires
À la lumière des risques émergents et en évolution dans le contexte des régimes de retraite, l’Association canadienne des organismes de contrôle des régimes de retraite (ACOR) a publié La ligne directrice no 10, Ligne directrice sur la gestion des risques à l’intention des administrateurs de régimes (la Ligne directrice). La nouvelle Ligne directrice souligne l’importance d’un cadre solide de gestion des risques qui comprend l’identification, l’évaluation, la gestion et la surveillance régulières des risques importants afin d’aider les administrateurs de régimes à mieux gérer le niveau de financement du régime et à protéger ce dernier contre les risques défavorables. De plus, la Ligne directrice aide les administrateurs de régimes à s’acquitter de leurs obligations fiduciaires et à respecter le niveau de diligence requis.
La Ligne directrice décrit les principes généraux de la gestion des risques et les considérations relatives aux risques pour des sujets précis, dont :
- les fournisseurs de services tiers;
- la cybersécurité;
- les placements;
- l’intégration des facteurs environnementaux, sociaux et de gouvernance (ESG); et
- l’utilisation de l’effet de levier dans le cadre de la stratégie de placement d’un régime de retraite.
La Ligne directrice s’applique à tous les types de régimes de retraite – prestations déterminées, cotisation déterminée, prestations cibles, agréés collectifs et hybrides – dans toutes les juridictions. Soulignant l’importance de la nouvelle Ligne directrice, le Bureau du surintendant des institutions financières (BSIF) a adressé une lettre à l’intention des administrateurs des régimes de retraite fédéraux, dans laquelle il indique qu’il s’attend à ce que la Ligne directrice soit suivie pour les régimes assujettis à la Loi de 1985 sur les normes de prestation de pension.
Cadre de gestion des risques
La Ligne directrice recommande aux administrateurs de créer et de maintenir un cadre de gestion des risques adapté aux caractéristiques de leur régime de retraite, notamment sa taille, sa complexité et la nature des risques auxquels il est confronté. Ce cadre devrait permettre d’identifier, d’évaluer, de gérer et de surveiller régulièrement les risques afin de préserver le niveau de capitalisation d’un régime et de satisfaire aux obligations fiduciaires.
L’administrateur de régimes doit d’abord définir, sous la forme d’une déclaration écrite, son appétit global pour le risque, sa tolérance au risque et ses limites de risque, et les intégrer dans le cadre de gouvernance et de gestion des risques du régime.
L’appétit pour le risque est le niveau et le type de risque que l’administrateur du régime est capable et désireux d’accepter tout en s’acquittant de son devoir fiduciaire.
La tolérance au risque est la variation des résultats que l’administrateur de régimes peut accepter pour un risque donné et peut varier selon les risques, en fonction de l’environnement d’exploitation, des parties prenantes, etc., mais elle doit être clairement comprise par les personnes qui prennent des décisions liées au risque sur une question donnée.
Les limites de risque représentent des seuils à ne pas dépasser en fonction de la déclaration d’appétit pour le risque du régime. Les limites de risque permettent de s’assurer que les risques sont gérés efficacement et qu’ils sont conformes à l’appétit pour le risque et à la tolérance au risque du régime.
Étape 1 : Identifier les risques
Il existe un large éventail de risques pouvant toucher les régimes de retraite et les administrateurs de régimes peuvent vouloir considérer l’information provenant de diverses sources pour les identifier. Les risques, qu’ils soient immédiats ou à plus long terme, peuvent être interreliés, corrélés ou cumulatifs. Les administrateurs de régimes doivent examiner l’interaction entre les différents risques afin de déterminer comment ils peuvent être reliés. Les administrateurs de régimes devraient documenter les risques identifiés (par exemple, dans un registre des risques) ainsi que les intervenants concernés par chaque risque. Un registre des risques fournit un modèle pour recenser les risques et doit documenter les contrôles mis en place pour les atténuer. Il pourrait également inclure une évaluation des répercussions de chaque risque ainsi que des occasions éventuelles. Pour les régimes de grande taille, un comité des risques peut être approprié.
Étape 2 : Évaluer les risques
Chaque risque identifié doit être évalué et classé par ordre de priorité en fonction de la menace globale qu’il représente pour la viabilité du régime et de son incidence potentielle sur les intervenants du régime. Il existe divers outils d’évaluation des risques qui peuvent être utiles pour élaborer une approche saine de gestion des risques et d’évaluation des risques. Une simple carte thermique peut aider à évaluer et à prioriser les risques en fonction de leur gravité et de la probabilité qu’un événement se produise. L’administrateur doit veiller à ce que les risques jugés importants pour un régime de retraite soient quantifiés.
Étape 3 : Gérer les risques
Des contrôles efficaces doivent être mis en œuvre pour gérer les risques identifiés. Il peut s’agir de politiques, de procédures, de plans d’urgence, de systèmes, de formation et d’éducation, d’assurances et de vérifications externes. Les administrateurs devraient mettre en place des contrôles pour atténuer et gérer les risques liés aux régimes dans le cadre de leurs obligations fiduciaires et de la norme de diligence qui leur incombe. Le coût et la faisabilité de la mise en œuvre d’un contrôle doivent être proportionnels à l’ampleur et à la probabilité du risque qu’il est censé atténuer.
Une fois que des contrôles sont en place, l’administrateur devrait déterminer les risques restants (résiduels), le cas échéant, en fonction de ses limites de risque. Il doit décider s’il convient d’accepter les risques résiduels, d’éliminer les risques, de gérer les risques en mettant en œuvre des mesures d’atténuation supplémentaires ou de transférer une partie ou l’intégralité des risques à un tiers.
Étape 4 : Surveiller les risques
La gestion des risques est un exercice continu plutôt que ponctuel. La surveillance, associée à la planification de mesures d’urgence, est la clé d’une réponse rapide et mesurée en cas d’événement défavorable. Il est donc nécessaire de surveiller et d’examiner en permanence les risques, le cadre de gestion des risques et les contrôles pour s’assurer qu’ils restent efficaces. Le registre des risques du régime doit être examiné au moins une fois par an afin d’évaluer l’efficacité des contrôles, de déterminer les risques émergents et de documenter les facteurs susceptibles d’influencer la probabilité ou la gravité potentielle des risques identifiés.
La Ligne directrice n° 10 de l’ACOR comprend des considérations sur cinq risques déterminés auxquels la plupart des régimes de retraite au Canada sont actuellement confrontés. Les administrateurs sont encouragés à adapter leurs pratiques de gestion des risques aux convictions en matière de placement, à la situation spécifique et aux risques propres au régime.
Risque lié aux tiers : Étant donné que de nombreux régimes de retraite font appel aux services de fournisseurs externes, les administrateurs doivent s’assurer que ces tiers respectent les normes de gouvernance et de gestion des risques établies par le régime.
Les administrateurs de régimes doivent bien comprendre que, même si les services et les responsabilités peuvent être délégués à des fournisseurs de services tiers, il conserve leurs obligations fiduciaires ainsi que la responsabilité de la supervision, de la gestion et de l’administration du régime.
Cybersécurité : La dépendance croissante à l’égard des systèmes numériques oblige les administrateurs à gérer activement les cyberrisques, qui comprennent les menaces internes (divulgation involontaire d’informations en raison d’un manque de procédures et de formation) et externes (logiciels malveillants et piratage) menaçant les données sensibles et les actifs des régimes de retraite. Les administrateurs de régimes doivent se demander s’ils disposent d’une expertise suffisante pour comprendre et gérer la nature évolutive du cyberrisque et si l’incidence éventuelle est bien comprise, notamment l’exposition des tiers.
Les cyberrisques comprennent généralement un « incident » et une « intervention ». Les administrateurs doivent bâtir leur cyberrésilience, c’est-à-dire la capacité à évaluer et à minimiser le risque d’un cyberincident et à rétablir la situation lorsqu’un incident se produit. Les administrateurs de régime doivent se familiariser avec la législation régissant la protection de la vie privée et la sécurité des données dans les juridictions applicables au régime et aux participants individuels et mettre en œuvre une stratégie pour s’assurer qu’ils respectent les exigences de déclaration en cas de cyberincident.
Risque de placement : Au Canada, la législation sur les normes de pension exige que l’administrateur d’un régime de retraite investisse l’actif de la caisse de retraite avec le niveau de diligence qu’une personne raisonnablement prudente exercerait en s’occupant des biens d’autrui. Les administrateurs sont censés appliquer les connaissances ou les compétences qu’ils possèdent (ou devraient posséder) en raison de leur profession ou de leur entreprise.
Pour les régimes dont les stratégies de placement sont moins complexes, la Ligne directrice recommande de procéder régulièrement à des autoévaluations de la gouvernance, en prenant soin de séparer les fonctions opérationnelles et de gestion des risques, et de faire appel à des tiers pour évaluer les pratiques opérationnelles et de gestion des risques. Il est ainsi possible de s’assurer que même les régimes les plus petits ou les moins complexes font l’objet d’une surveillance rigoureuse. Les régimes comportant des placements alternatifs sont susceptibles d’être mal évalués, en particulier en cas de volatilité des marchés. Des évaluations intermédiaires indépendantes des actifs illiquides peuvent être appropriées pendant ces périodes.
Parmi les outils utilisés pour gérer le risque de placement, citons l’établissement d’expositions maximales et minimales aux catégories d’actifs, les limites de sensibilité basées sur le risque, les tests de résistance, l’analyse de scénarios et la modélisation de type actif-passif. La Politique de placement du régime doit refléter les catégories de risque de placement auxquelles le régime est vulnérable ainsi que le niveau de risque acceptable pour atteindre les objectifs du régime en matière de financement des prestations des participants. Les stratégies de placement sont guidées par la Politique de placement et doivent être compatibles avec l’appétit global pour le risque du régime.
Enjeux environnementaux, sociaux et de gouvernance (ESG) : Les considérations ESG sont de plus en plus pertinentes pour la gestion des risques des régimes de retraite et les administrateurs des régimes doivent intégrer ces facteurs dans leur cadre de gouvernance et leurs stratégies de placement afin de s’acquitter de leurs responsabilités fiduciaires.
Les risques ESG, en particulier ceux liés au changement climatique, peuvent être systémiques et influer sur le rendement à court et à long terme des placements. La détermination et la gestion de ces risques sont cruciales, car ils sont souvent complexes, liés à d’autres risques et difficiles à quantifier. Les administrateurs sont encouragés à élaborer des politiques de placement qui reflètent leur point de vue sur les conséquences financières potentielles des risques ESG. Il peut s’agir de fixer des limites ou des objectifs de placement liés à des considérations ESG. Ils doivent également s’assurer que les gestionnaires d’actifs tiers s’alignent sur les objectifs ESG du régime. La meilleure pratique consiste à informer les parties prenantes de la manière dont les considérations ESG sont intégrées dans les processus de gouvernance et de placement du régime. Il peut être utile d’établir des convictions en matière de placement concernant les facteurs ESG et son application au profil risque/rendement financier du régime. Celles-ci peuvent être incluses dans la Politique de placement et dans d’autres politiques (par exemple, la sélection des gestionnaires externes et les cadres de diligence raisonnable).
Utilisation de l’effet de levier : L’utilisation de l’effet de levier dans le cadre de la stratégie de placement d’un régime de retraite présente plusieurs risques, notamment l’incidence amplifiée de la volatilité du marché, le risque de liquidité et le risque de contrepartie. L’effet de levier peut être utilisé dans les régimes de retraite pour mettre en œuvre une stratégie de placement fondé sur le passif afin d’augmenter la position dans les actifs de croissance et de rechercher des efficiences/occasions de placement.
Les administrateurs de régimes de retraite qui ont recours à l’effet de levier doivent avoir une bonne compréhension de la manière dont celui-ci influe sur le profil de risque global du régime de retraite et doivent surveiller et gérer continuellement les risques associés afin de s’assurer que l’utilisation de l’effet de levier est conforme à la stratégie de placement globale et à l’appétit pour le risque du régime. Les tests de résistance et l’analyse de scénarios sont essentiels pour évaluer l’incidence potentielle de l’effet de levier sur les actifs et les passifs du régime dans différentes conditions de marché.
Les régimes qui ont recours à l’effet de levier doivent documenter les politiques et les procédures relatives à son utilisation dans leur Politique de placement, y compris les raisons de son utilisation, les types d’effet de levier utilisés et la manière dont l’effet de levier est intégré dans la stratégie globale de placement.
Répercussions pour les administrateurs de régimes de retraite
Pour les organisations qui offrent des régimes de retraite agréés, l’adoption des pratiques décrites dans la Ligne directrice no 10 de l’ACOR améliorera la gouvernance et aidera les administrateurs des régimes de retraite à s’acquitter de leurs obligations fiduciaires lorsqu’il s’agit de gérer les risques importants associés à leur régime de retraite. Nombre de ces recommandations contribuent également à protéger les régimes et les promoteurs contre les risques d’atteinte à la réputation. En établissant un cadre solide de gestion des risques, les administrateurs de régimes peuvent mieux protéger les actifs du régime de retraite, réduire les risques opérationnels et continuer à améliorer les contrôles en place pour protéger les prestations promises aux participants.
Les administrateurs de régimes devraient :
- Examiner et mettre à jour leurs pratiques actuelles de gestion des risques par rapport au cadre recommandé par l’ACOR.
- Prendre des mesures pour définir clairement et documenter les responsabilités des tiers et pour mettre en place une surveillance efficace de ces responsabilités.
- Évaluer régulièrement les cyberrisques et mettre en œuvre des mesures appropriées pour protéger les données et les systèmes du régime.
- Veiller à ce que les risques de placement auxquels le régime est confronté soient identifiés, évalués et gérés, y compris la compréhension des raisons justifiant l’utilisation, et les risques inhérents, de l’effet de levier.
- Identifier les risques et les occasions importants en matière de facteurs ESG et y répondre d’une manière adaptée à la situation de leur régime et à leurs convictions en matière de placement.
- Envisager des examens périodiques indépendants de l’adéquation du cadre de gestion des risques de l’administrateur d’un régime.
Les administrateurs de régimes sont encouragés à adapter leurs pratiques de gestion des risques afin de refléter les convictions, les circonstances et les risques propres à leur régime en matière de placement.
La gouvernance des régimes est complexe! Nous pouvons vous aider à y voir plus clair. Communiquez avec votre consultant Eckler pour poursuivre la conversation ou visitez notre site Web pour en apprendre davantage au sujet des solutions de gouvernance.