Depuis la publication de la ligne directrice sur la gestion des risques de l’ACOR (la « ligne directrice ») dans sa version définitive, le 9 septembre 2024, les promoteurs et les administrateurs de régimes doivent composer avec les défis inhérents à son application. Bien que cette ligne directrice constitue une norme fondée sur les pratiques exemplaires dont l’application est facultative, elle reflète ce à quoi les organismes de réglementation des régimes de retraite s’attendent¹ des administrateurs de régimes dans le cadre de leur obligation fiduciaire. Les administrateurs de régimes seront tenus de démontrer qu’ils ont pris en considération les risques énumérés dans la ligne directrice et qu’ils ont établi un processus permettant d’identifier, d’évaluer, de gérer et de surveiller les risques importants pour les régimes de retraite. Bien que la ligne directrice fournisse des outils et des ressources utiles aux administrateurs de régimes, notre expérience auprès de nos clients nous a enseigné que certains aspects nécessitent une élaboration plus exhaustive pour arriver à une application efficace. 

Déterminer l’appétit pour le risque

L’appétit pour le risque est un énoncé général de l’ampleur des risques et des types de risques qu’un administrateur de régimes est prêt à accepter pour atteindre ses objectifs, tout en s’acquittant de son obligation fiduciaire, et cet appétit est donc quantifiable. La ligne directrice suggère qu’une condition préalable à l’élaboration d’un cadre de gestion des risques soit l’obtention d’un énoncé écrit indiquant de façon globale l’appétit pour le risque, la tolérance au risque et les limites de risque. Toutefois, il peut être difficile de quantifier l’appétit pour le risque global si aucun registre des risques ni aucun objectif à court et à long terme n’ont été établis pour le régime. Le cas échéant, il sera plus efficace de commencer par déterminer les objectifs stratégiques et par créer un registre des risques indiquant et évaluant les risques financiers, opérationnels, de conformité et d’atteinte à la réputation auxquels le régime fait face. Les administrateurs de régimes doivent faire preuve de souplesse, en commençant par les éléments évidents et connus, plutôt que de suivre les étapes de façon stricte. L’appétit pour le risque deviendra de plus en plus clair à mesure que progressera le processus d’identification et d’évaluation des risques en vue d’atteindre les objectifs stratégiques du régime. 

Évaluation de l’importance

Le terme « important » est utilisé tout au long de la ligne directrice pour décrire l’ampleur des répercussions potentielles d’un risque et la probabilité que ce risque se concrétise. Un risque important est un risque qui est hautement susceptible de se concrétiser et qui est associé à une perte potentielle considérable. Évaluer l’importance d’un risque est un exercice à ne pas négliger, car il aide à prioriser les ressources et à s’assurer que les risques les plus importants sont traités rapidement. Lors de l’évaluation de l’importance d’un risque, d’autres éléments doivent également être pris en compte : 

• évaluation des facteurs quantitatifs et qualitatifs, c.-à-d. ne pas évaluer uniquement l’ampleur de la perte financière, mais également de l’atteinte à la réputation, des pénalités réglementaires, des répercussions sur la confiance des parties prenantes, etc.;
• normes et pratiques exemplaires de l’industrie par rapport aux pairs;
• incidents passés et leurs répercussions sur le régime;
• degré d’interdépendance des risques et possibilité d’exacerbation des risques, ce qui pourrait accroître leur importance.

Puisque l’importance d’un risque peut évoluer au fil du temps, il y a lieu de réévaluer cette importance régulièrement, par exemple, une fois par année. 

Mesurer l’efficacité des contrôles

La ligne directrice traite de la nécessité de consigner les contrôles qui sont en place ou qui pourraient être mis en place pour réduire la gravité d’un risque ou la probabilité qu’il se concrétise et pour mesurer l’efficacité des contrôles. L’une des erreurs commises couramment lors de l’élaboration d’une stratégie d’atténuation des risques est de présumer que les politiques et les procédures établies constituent des contrôles efficaces. Pour mieux comprendre de quoi il retourne, il faut d’abord connaître la différence entre une politique, une procédure et un contrôle². Par exemple : 

Une politique est essentiellement un principe directeur ou une règle, p. ex. « les données d’un participant ne peuvent pas être transmises par voie électronique sans avoir été cryptées ».

Une procédure décrit la façon dont la politique sera appliquée, p. ex. « lorsqu’un fichier contenant les données d’un participant est créé, il doit être crypté au moyen du protocole TLS et transmis par VPN sécurisé ».

Un contrôle est un ou plusieurs mécanismes mis en place pour atténuer le risque qu’une procédure ne soit pas appliquée correctement ou ne soit pas appliquée du tout et favoriser le résultat visé par la politique (la ligne directrice donne des exemples de contrôles à la section 5.3, Étape 3 : Gérer les risques). Dans le présent exemple, le contrôle est l’utilisation d’un logiciel de cryptage et la transmission par VPN sécurisé. 

Toutefois, l’utilisation d’un logiciel de cryptage et d’un VPN sécurisé ne constitue pas à elle seule un contrôle efficace si rien n’empêche la transmission de données d’un participant non cryptées. Dans cet exemple, l’objectif du contrôle est d’empêcher la transmission de données non cryptées. Pour atteindre cet objectif, il pourra être nécessaire de mettre en place plusieurs étapes de contrôle, en plus de l’utilisation d’un logiciel de cryptage, comme de la formation sur la transmission de données, la restriction de l’accès aux données des participants à certains membres du personnel et des pare-feux empêchant la transmission de données non cryptées, entre autres. Pour déterminer si les contrôles en place sont efficaces, il faut s’assurer que ces contrôles :

• empêchent les risques ou les réduisent au minimum : plusieurs mesures pourraient devoir être mises en place pour ce faire;
• détectent rapidement les déficiences : utilisation de rapports sur les anomalies et d’autres mécanismes pour relever rapidement toute déficience dans le processus;
• permettent de corriger et d’atténuer : traiter les déficiences et prendre les mesures nécessaires pour réduire au minimum la possibilité qu’un risque se reproduise.

Enfin, les contrôles doivent être adaptés aux risques qu’ils permettent de gérer. Ils doivent être uniformes, reproductibles et adaptés à l’objectif, tout en respectant le principe de proportionnalité. Ainsi, il peut ne pas être nécessaire de recourir à des outils complexes et coûteux pour évaluer les risques lorsque ceux-ci sont simples et faciles à comprendre. 

Risque lié aux tiers

Le risque lié aux tiers est de plus en plus dans la mire des organismes de réglementation et constitue un défi de taille pour les administrateurs de régimes. Il en est ainsi en raison de la nécessité de transférer de grandes quantités de données sensibles à des fournisseurs de services externes et de la dépendance de plus en plus grande à la technologie pour réaliser diverses fonctions au sein de l’entreprise. Cette situation vient créer de nombreux points vulnérables, comme les possibilités d’atteinte à la confidentialité des données et de cyberattaques de même que la dépendance au plan de reprise des activités des fournisseurs pour fournir les services à l’administrateur d’un régime (ou aux participants à un régime). Outre l’exercice d’une diligence raisonnable à l’égard des tiers et la surveillance des éléments énoncés dans la ligne directrice, un bon point de départ pour évaluer le risque lié à un fournisseur de services externe consiste à attribuer une catégorie et un niveau de risque en fonction i) de la fonction impartie, ii) de la sensibilité des données, et iii) du degré de dépendance à l’égard du fournisseur externe. Cette approche aide à prioriser les relations qui posent les risques les plus élevés et qui nécessitent le plus d’attention. 

La paralysie de la perfection

L’élaboration d’un cadre de gestion des risques représente une lourde tâche pour de nombreux administrateurs de régimes, ce qui peut mener à la procrastination. Qui plus est, penser que tout doit être parfait dès le départ peut faire en sorte que rien ne soit fait du tout. Il est important de ne pas s’embourber dans un cycle sans fin de préparation, d’analyse et de tentative de trouver le bon moment pour démarrer le projet. Voici quelques moyens d’éviter la paralysie de la perfection :

• diviser une tâche en petites tâches plus faciles à gérer, et classer ensuite ces tâches par ordre de priorité, en fonction des répercussions et de l’urgence;
• répartir le travail parmi des personnes chargées de l’exécution et des personnes chargées de la révision, au sein d’une même équipe ou non, de manière à gérer la charge de travail;
• se rappeler la règle du 80/20. Il peut ne pas être nécessaire d’identifier et de traiter chacun des risques pouvant avoir des répercussions sur le régime. Il est préférable de mettre l’accent sur l’importance et la probabilité. Identifier et traiter 80 % des risques est un bon départ. Il faut se souvenir qu’il s’agit d’un processus itératif qui continuera de s’améliorer au fil du temps. 

Gouvernance et évaluation des objectifs

Une bonne gouvernance, dans le contexte de la gestion des risques touchant les régimes de retraite, doit être efficace. La ligne directrice no 4 de l’ACOR, la Ligne directrice sur la gouvernance des régimes de retraite, décrit ce qu’est une gouvernance efficace. Il est nécessaire de réaliser un examen objectif et indépendant afin d’évaluer adéquatement le cadre de gestion des risques et l’efficacité des contrôles. Pour assurer l’indépendance et l’objectivité de l’évaluation, il y a lieu de prendre les mesures suivantes : 

• Séparation des tâches : Les personnes qui réalisent l’évaluation ne doivent pas être les mêmes que celles qui ont élaboré les contrôles de gestion des risques. 
• Conflits d’intérêts : Si le promoteur du régime et l’administrateur du régime sont une seule et même entité, ou s’il est impossible de faire preuve d’indépendance à l’interne, il pourrait être judicieux d’impartir l’examen et l’évaluation à un tiers qualifié afin d’éviter de possibles conflits. L’impartition peut également permettre d’éliminer les partis pris dans l’évaluation de la conception et du caractère adéquat du cadre de gestion des risques. 
• Connaissances et compétences adéquates : Parmi les risques relevés dans l’annexe A de la ligne directrice, on retrouve les risques liés à la gouvernance, qui surviennent lorsque l’administrateur d’un régime n’a pas les connaissances ou les compétences nécessaires pour remplir son obligation fiduciaire. Les administrateurs de régimes doivent déterminer s’ils ont l’expertise voulue à l’interne pour identifier les lacunes et évaluer le caractère adéquat des contrôles, en particulier en matière de cybersécurité, d’ESG et de gestion globale des risques. Au besoin, ils peuvent demander l’aide de professionnels.

Conclusion

L’application de la ligne directrice sur la gestion des risques de l’ACOR comporte des défis et des occasions à saisir pour les promoteurs et les administrateurs de régimes. Bien qu’elle fournisse un cadre exhaustif, son application réussie nécessite une approche nuancée allant au-delà de la simple conformité. Il sera essentiel, pour les promoteurs et les administrateurs de régimes de retraite qui doivent composer avec cette nouvelle réalité, de se rappeler que la gestion des risques est un processus continu qui nécessite d’être peaufiné continuellement. 

1 Remarque : Le Bureau du surintendant des institutions financières a publié, le 12 septembre 2024, une lettre aux administrateurs de régimes de retraite fédéraux indiquant qu’il s’attend à ce qu’ils appliquent la ligne directrice dans le cadre de leurs efforts visant à s’acquitter de leurs obligations fiduciaires. En outre, la BC Financial Services Authority a indiqué qu’elle adoptera, pour les administrateurs de régimes de retraite, la ligne directrice sur la gestion des risques de l’ACOR à titre de ligne directrice principale en matière de gestion des risques liés aux catastrophes naturelles et aux changements climatiques et qu’elle a l’intention de faire de sa ligne directrice sur la sécurité de l’information à l’intention des administrateurs de régimes de retraite de la Colombie-Britannique une ligne directrice distincte qui sera harmonisée avec celles des autres organismes de réglementation des régimes de retraite. 

2 Comcover, le fonds d’assurance autogéré du gouvernement de l’Australie, a publié une boîte à outils sur la gestion des risques pour les promoteurs de régimes du secteur public : Element 5: Control Effectiveness, of the Risk Management Toolkit. https://www.finance.gov.au/government/comcover/risk-services/management/risk-management-toolkit (en anglais)

TELUS Santé

TELUS Santé est un chef de file mondial en solutions virtuelles et présentielles qui favorisent le mieux-être global des gens. Nos solutions en matière de rémunération, de retraite et d’avantages sociaux ont contribué à la santé financière de milliers d’organisations et à celle de leurs employés. Grâce à la force unifiée de TELUS Santé, nos équipes chevronnées mettent tout en œuvre pour fournir des solutions novatrices, durables et flexibles qui répondent aux besoins en matière de rémunération, de retraite et d’avantages sociaux des clients de partout en Amérique du Nord. https://www.telus.com/fr/health/employers/consulting/retirement-pension

© TELUS Health (Canada) Ltd., 2024. Tous droits réservés.

Alana Dubinski, responsable de la conformité, TELUS Santé Gestion des investissements

Alana Dubinski, CIM, est chef de la conformité de TELUS Health Investment Management et dirige diverses initiatives stratégiques au sein de la division Retirement & Benefit Solutions de TELUS Health, y compris le groupe de travail ESG Investment & Risk. Alana a plus de 25 ans d'expérience dans les domaines de la conformité, de la gestion des risques et des opérations d'investissement au sein de banques nationales et internationales, de gestionnaires d'actifs et de cabinets de conseil. Elle aide ses clients à mettre en œuvre des solutions pratiques pour relever les défis de la gouvernance et de la gestion des risques.  

TJ Modi, vice-président, Consultation en matière de réglementation, de gouvernance et d'affaires juridiques, TELUS Santé

Tejash Modi (TJ) est associé au sein du secteur des services-conseils de TELUS Santé, sous la rubrique Solutions pour les employeurs, et chef de pratique pour les services-conseils en matière de réglementation, de gouvernance, de droit et de conformité de l'entreprise.  Il a été admis au Barreau de l'Ontario en 2001. TJ travaille pour l'entreprise depuis plus de 18 ans et, auparavant, il a travaillé pendant quatre ans en tant qu'avocat associé dans une société internationale de conseil en ressources humaines et pendant un an et demi en tant qu'avocat associé dans un cabinet de contentieux. Il est titulaire d'un Juris Doctor de la Osgoode Hall Law School et d'un Master of Business Administration de la Schulich School of Business en 1999.