Notre enquête de rémunération globale remun est ouverte. Participez dès maintenant!

Voir+

Notre enquête remun est ouverte. Participez à l’enquête de rémunération globale la plus complète au Canada dès maintenant!

NBlogue

Ligne directrice no 10 de l’ACOR, un an plus tard :  défis de mise en œuvre et pistes de réflexion pour un cadre de gestion des risques efficace

Un an après la publication de la nouvelle Ligne directrice no 10 sur la gestion des risques pour les administrateurs de régimes par l’Association canadienne des organismes de contrôle des régimes de retraite (ACOR), la majorité des administrateurs de régimes de retraite (y compris les administrateurs de régimes à prestations déterminées [PD], de régimes à cotisations déterminées [CD] et d’autres régimes de capitalisation) ont amorcé leurs travaux afin de s’y conformer et se sont engagés à consolider ou à améliorer leur cadre de gestion des risques. Le rythme et le niveau de sophistication de ce cadre varient considérablement d’un régime à l’autre, influencés par le type de régime, sa taille, la complexité de l’administration et des stratégies d’investissement et de financement en place, la structure de gouvernance et l’expérience de l’administrateur en matière de surveillance des risques.

La conformité en pratique : une mise en œuvre par étapes

Alors que les administrateurs cherchent à rendre la ligne directrice pratique et concrète, beaucoup décident d’aborder sa mise en œuvre en plusieurs étapes. De manière générale, les administrateurs de régimes ont abordé leur première année d’intégration en suivant un plan d’action simple en trois étapes :  

  1. Formation : connaître la nouvelle ligne directrice et offrir une formation complète aux principales parties concernées, y compris les représentants de l’administrateur et du promoteur du régime.
  2. Identification des éléments manquants : effectuer un diagnostic de son cadre de gestion des risques pour cerner les écarts entre les pratiques actuelles de gestion des risques et les pratiques exemplaires proposées dans la ligne directrice.
  3. Consolidation du cadre de gestion des risques, incluant : 
    • La rédaction d’un énoncé de risque global, comprenant l’appétit pour le risque, la tolérance au risque et les limites de risque.
    • La mise en place d’un bulletin de gestion des risques qui regroupe les quatre grandes étapes du processus de gestion des risques, soit l’identification, l’évaluation, la gestion et le suivi des risques.   
Les leçons tirées du terrain : ce que nous observons en pratique

Ce qui ressort, c’est un réel élan et une intention claire. La plupart des administrateurs ont entrepris des démarches concrètes vers la conformité, reconnaissant la nécessité de renforcer la documentation et la structure. Pour certains régimes de retraite, tout doit être bâti à partir de zéro; mais pour beaucoup d’autres, il existe déjà des éléments ou outils de base que l’on peut exploiter ou bonifier. Malgré cela, on observe une variation considérable dans l’industrie. Le principe de proportionnalité est largement adopté, mais son interprétation diffère. Les régimes de plus grande taille, dotés d’équipes internes de gestion des risques, élaborent des cadres sophistiqués appuyés par des bulletins de gestion des risques détaillés et des contrôles robustes. Les régimes plus petits ou moins complexes ont plutôt tendance à adopter une approche plus simple, en adaptant les outils existants.

Les lacunes souvent observées

Plusieurs lacunes relevées lors de la phase de diagnostic sont communes à de nombreux régimes. Beaucoup d’administrateurs n’ont toujours pas d’énoncé de risque global clairement formulé et documenté, définissant l’appétit pour le risque, la tolérance au risque et les limites de risque. D’autres n’ont pas entièrement documenté leurs processus de gestion des risques, lesquels sont souvent dispersés dans plusieurs documents. Plusieurs n’ont pas encore élaboré une approche cohérente pour évaluer le risque résiduel. Les documents de gouvernance antérieurs à la Ligne directrice no 10 nécessitent souvent une mise à jour, et les mécanismes de surveillance des risques liés aux tiers et à la cybersécurité sont souvent peu développés. En ce qui concerne plus particulièrement la cybersécurité, de nombreux régimes se concentrent fortement sur les contrôles préventifs, mais n’ont pas investi autant dans la préparation d’un plan d’intervention afin de soutenir une reprise rapide en cas d’incident. L’intégration des facteurs ESG demeure également une source d’incertitude, les administrateurs de régimes de retraite cherchant des moyens clairs et pratiques d’intégrer ces considérations dans la gouvernance et les évaluations de risques. Certains risques liés aux régimes CD, tels que la communication, la formation des participants et la préparation à la retraite, sont souvent négligés, surtout lorsque le régime CD succède à un ancien régime PD.

Les défis de mise en œuvre et pistes de réflexion

Les thèmes suivants mettent en lumière les défis de mise en œuvre les plus courants auxquels les administrateurs de régime sont confrontés, ainsi que des idées pratiques pour améliorer le cadre de gestion des risques : 

  • Adapter le niveau de complexité : les régimes plus petits ou moins complexes peuvent avoir de la difficulté à concilier rigueur et pragmatisme. Cela renvoie au principe de proportionnalité, qui peut être difficile à appliquer concrètement. Ce principe vise à s’assurer que la gestion des risques demeure efficace, rentable et gérable, sans alourdir inutilement l’administration du régime, tout en tenant compte de la complexité des stratégies de placement et de financement en place, du niveau de risque opérationnel et du degré global de sophistication. Un exemple d’approche simplifiée pourrait inclure un bulletin de gestion des risques qui offre une évaluation qualitative du risque résiduel par grande catégorie de risques plutôt que pour chaque risque individuellement.  
  • S’entendre sur un énoncé de risque global : cette étape peut être difficile, notamment parce que les administrateurs ont souvent des appétits différents pour les risques financiers et non financiers. Les risques financiers peuvent être rémunérés et contribuent généralement aux objectifs du régime, tandis que les risques non financiers sont habituellement non rémunérés, ce qui réduit l’appétit pour le risque, même si celui-ci doit être équilibré par rapport au coût des mesures de contrôle en place. On constate également une confusion fréquente entre l’appétit pour le risque et la tolérance au risque, ces notions étant parfois utilisées de manière interchangeable alors qu’elles ont des significations distinctes. 
    • L’appétit pour le risque reflète le niveau de risque que l’administrateur est prêt à accepter pour atteindre les objectifs du régime (concept aspirationnel). 
    • La tolérance au risque reflète la variation acceptable des résultats pour un risque donné (limite opérationnelle). 

L’appétit pour le risque, la tolérance au risque et les limites de risque peuvent être définis pour le régime dans son ensemble ou par grande catégorie de risques. En fin de compte, ce qui importe le plus, c’est la cohérence : les décisions futures liées à la gestion du régime de retraite doivent concorder avec l’énoncé de risque global qui a été rédigé. 

  • Clarifier les responsabilités : définir clairement les responsabilités entre l’administrateur du régime, le promoteur du régime et les tiers (tant internes qu’externes). Et garder en tête qu’en définitive, la responsabilité fiduciaire incombe toujours à l’administrateur du régime. 
  • S’appuyer sur le cadre de gestion des risques organisationnels existant : tirer parti, lorsque possible, des cadres de gestion des risques organisationnels existants afin d’éviter les dédoublements et d’améliorer l’efficacité. Les administrateurs de régime devraient également chercher à harmoniser les cadres propres au régime de retraite avec les structures globales de gestion des risques organisationnels afin de prévenir les incohérences ou les chevauchements. En même temps, ils doivent garder à l’esprit que les cadres de gestion des risques organisationnels ne sont pas toujours suffisamment adaptés aux particularités des régimes de retraite, ni facilement applicables en pratique.
  • Envisager le regroupement : la mise en place d’un bulletin global de gestion des risques peut constituer un outil puissant pour démontrer l’existence d’un cadre de gestion des risques intégré. Centraliser les différents outils créés au fil du temps et confirmer l’objectif et la pertinence de chaque document déjà en place permet de bâtir une structure de gouvernance plus intégrée et simplifiée. 
  • Améliorer la surveillance des facteurs ESG : que considère-t-on comme suffisant? Plusieurs approches existent pour gérer les risques ESG, allant d’une approche à haut niveau jusqu’à très détaillée. L’approche choisie peut évoluer au fil du temps et en fonction de l’évolution des connaissances de l’administrateur du régime. Il faut considérer ces éléments comme des domaines en constante évolution, et non comme des cases à cocher une seule fois. 
  • Renforcer la surveillance de la cybersécurité : les administrateurs de régime soutiennent souvent que ce risque incombe aux tiers qui utilisent réellement la technologie dans les opérations quotidiennes du régime, ou encore qu’il suffit de s’appuyer sur la gestion des cyberrisques et la cyberassurance existant pour l’organisation. Or, la responsabilité fiduciaire demeure toujours celle de l’administrateur du régime, qui doit évaluer et s’assurer de la bonne gestion des cyberrisques par les tiers, mais aussi pour lui-même. Il est primordial de consulter des spécialistes en TI/cybersécurité et d’obtenir une confirmation de l’existence d’une cyberassurance adéquate pour les tiers et pour les administrateurs eux-mêmes.  
  • Favoriser une culture axée sur la gestion du risque : encourager un dialogue continu entre toutes les parties concernées, y compris l’administrateur du régime, le promoteur, les tiers, les autorités législatives et les spécialistes, afin de garder une longueur d’avance sur les risques externes et émergents. Mettre en place un programme de formation systématique. S’assurer d’une documentation adéquate du processus de gestion des risques. Maintenir en vigueur le cadre de gestion des risques. 
  • Avancer une étape à la fois : déterminer explicitement les vulnérabilités, c’est-à-dire ces risques dont l’administrateur de régime est conscient mais qu’il n’a pas encore traités, ou qu’il a traités de manière incomplète. La gestion des risques est un parcours. Il faut commencer par les risques les plus pressants et affiner progressivement l’approche. 
Au-delà de la conformité : renforcer la résilience de la gouvernance

Au-delà de la simple conformité, la Ligne directrice no 10 de l’ACOR représente un changement important vers une gouvernance plus réfléchie, transparente et axée sur les résultats. Bien que la mise en œuvre initiale de ce cadre puisse exiger des efforts considérables, les avantages à long terme sont indéniables. Les organisations devraient instaurer un cycle de révision récurrent afin de s’assurer que le cadre demeure pertinent au fil du temps et intégrer des indicateurs de performance (KPI) pour mesurer à la fois la conformité et l’efficacité opérationnelle. Une gestion rigoureuse des risques favorise une prise de décision plus solide, améliore la transparence, renforce la confiance des parties concernées, accroît la durabilité et, ultimement, consolide la capacité à assumer la responsabilité fiduciaire. L’objectif dépasse largement le respect des exigences réglementaires : il s’agit de renforcer les fondations de la gouvernance qui protègent les participants, les promoteurs et les administrateurs de régime à long terme.

Transformer l’exigence en occasion

Un an après la publication de la Ligne directrice no 10 de l’ACOR, son influence sur la gouvernance, la responsabilisation et la sensibilisation aux risques est déjà manifeste. Les administrateurs qui abordent la mise en œuvre non pas comme une exigence de conformité, mais comme une occasion d’élever leur cadre de gouvernance, seront les mieux placés pour s’adapter aux évolutions réglementaires futures et aux risques émergents. Qu’il s’agisse d’un bulletin de gestion des risques complet ou d’un cadre simplifié adapté à la complexité du régime, l’objectif demeure le même : apporter structure, transparence et intention à la gestion de l’incertitude, de manière à soutenir la réussite à long terme du régime et la protection de ses participants.

Cet article a été rédigé par :

Isabelle Clément, FSA, FICA, CRM
Associée, Retraite 

Lydia Audet, FSA, FICA
Conseillère principale, Retraite et Gestion d’actifs

À lire aussi

NBlogue Régimes de retraite

Fonds de rentes dynamiques : une nouvelle ère pour le décaissement

La planification de la retraite s’est longtemps heurtée à un défi : comment transformer l’épargne en un revenu durable, prévisible et adapté aux besoins évolutifs des personnes retraitées?

Lire la suite
NBlogue

La contribution de l’IA à la rémunération globale 

L’intelligence artificielle (IA) a dépassé le stade des outils isolés pour devenir une technologie fondamentale qui transforme les systèmes organisationnels et la prise de décision.

Lire la suite

Nos coordonnées

general@normandin-beaudry.ca

Montréal

630, boul. René-Lévesque O.
30e étage

Montréal, QC H3B 1S6

514-285-1122

Toronto

155, avenue University
bureau 1805

Toronto, ON M5H 3B7

416-285-0251

Québec

1751, rue du Marais
bureau 380

Québec, QC G1M 0A2

418-634-1122