Que la caisse de pensions qui maîtrise parfaitement ses risques jette la première pierre. Il existe désormais des normes détaillées ou des règles contraignantes pour (presque) tout, que ce soit pour l’établissement d’un rapport de durabilité ou pour la tenue de la comptabilité d’une caisse de pensions, mais pas pour la gestion des risques et le système de contrôle interne (SCI).
Certes, l’organe suprême d’une caisse de pensions est soumis à des obligations contraignantes. Ainsi, l’art. 51a al. 2 let. F LPP stipule que le conseil de fondation assume la responsabilité stratégique de la conception du système de contrôle interne. En outre, une attention particulière doit être accordée aux risques liés aux placements. Enfin, la CHS exige des caisses de pensions en situation de concurrence une «gestion globale des risques assortie d’une obligation de transparence et de documentation». Mais nulle part il n’est précisé comment cela doit se faire exactement.
La guerre en Iran nous a récemment montré à quel point la gestion des risques est importante. Qui aurait pensé que les États du Golfe, réputés «sûrs», seraient pris pour cible par des drones et des missiles? En tout cas, pas les habitants, les expatriés et les touristes sur place. Les Émirats arabes unis ont-ils correctement évalué le risque de guerre? Compte tenu du fait qu’il n’existe pas un seul abri anti-aérien accessible au public dans tout Dubaï, on peut en douter. La gestion des risques ne consiste pas seulement à analyser les risques connus, mais aussi à « s’attendre à l’inattendu».
«Expect the unexpected» – ou comment identifier, surveiller et gérer les risques liés aux caisses de pensions?
Revenons aux risques liés aux caisses de pensions: il faut d’abord se demander ce que l’on entend par «risques» et à quels risques une caisse de pensions est exposée. En fin de compte, tout peut se résumer à un seul risque: celui de ne plus pouvoir exister en tant qu’entité. J’ai constaté à maintes reprises que le nœud du problème en matière de gestion des risques réside dans la difficulté à s’accorder sur ce que sont les risques et sur le niveau de détail avec lequel ils doivent être définis. Le Robert définit le risque comme « un danger éventuel plus ou moins prévisible ». Cette définition englobe la notion d’inconvénient, d’aléa ou d’exposition à un danger probable. Il s’agit d’une possibilité de fait ou d’événement considéré comme un mal. L’ISO va encore plus loin et définit le risque comme « l’effet de l’incertitude sur l’atteinte des objectifs», ce qui inclut également les écarts positifs dans la catégorie des risques. Tout le monde s’accorde sur un point: un risque est décrit et mesuré en fonction de ses conséquences possibles et de la probabilité de sa survenue.
Il y a quelques années, à la caisse de pensions de la ville de Winterthur, nous avons opté pour un outil intégral de surveillance des risques et de SCI basé sur le web. Nous avons ainsi laissé derrière nous l’époque où les risques et les processus étaient encore surveillés à l’aide de tableaux Excel autonomes. Tout comme les risques et les processus de travail d’une caisse de pensions évoluent en permanence, l’outil est lui aussi soumis à un processus de changement permanent. Ce qui avait commencé par beau-coup d’efforts et peu de résultats s’est transformé en un outil opérationnel et un instrument de gestion stratégique dont on ne peut plus se passer.
Comme l’outil, dans sa forme actuelle, rend avant tout de grands services dans la surveillance des risques et des processus, de nouvelles questions se sont posées. D’une part: comment organiser le reporting sur le déroulement de la surveillance des risques? Et d’autre part : comment améliorer la gestion prospective des risques ?
Cette année, nous avons procédé pour la première fois à une évaluation quantitative des activités, ce qui nous permet d’analyser systématiquement une période passée. De plus, la direction a dû répondre à des questions qualitatives prédéfinies pour la même période. Par exemple, l’une des quelque vingt questions était la suivante: «De nouveaux processus ont-ils dû être intégrés, supprimés ou adaptés dans le SCI, et si oui, lesquels et pourquoi?» Le rapport annuel sur les risques et le SCI ainsi élaboré a été soumis au conseil de fondation pour information. Il a en outre confirmé l’adéquation du SCI à l’intention de la société d’audit.
Nous disposons certes désormais d’un instrument de surveillance efficace, mais pas encore d’un outil de pilotage tourné vers l’avenir. La gestion stratégique d’une caisse de pensions implique de remettre sans cesse en question les risques. Les risques pertinents sont-ils surveillés à l’aide de mesures ciblées ? Une idée consiste à se pencher périodiquement, par le biais d’un comité des risques, sur l’efficacité de la gestion des risques et du SCI, mais aussi sur les risques de la catégorie «expect the unexpected».
Le noeud du problème avec les risques