La fonction « gestion des risques » au Luxembourg se trouve institutionnalisée par la panoplie de réglementations internationales existantes et en cours d’élaboration pour certains acteurs de la finance, par référence à Bâle III, Solvency II, Ucits IV ou AIFMD. Dans un contexte plus historique au niveau local, la circulaire IML 98/143 sur le contrôle interne adressée aux établissements de crédit et autres professionnels du secteur financier définit les mesures à prendre pour assurer que « les risques sont contrôlés adéquatement et le patrimoine est protégé ». La circulaire définit les différents niveaux de contrôle interne en identifiant les rôles et responsabilités du conseil d’administration, de la direction et de la fonction d’audit interne. Même si le système de contrôle interne est censé identifier, mesurer et limiter les risques financiers et opérationnels de l’entreprise, il n’y pas d’exigence explicite quant à la création d’une fonction « gestion des risques ».

La circulaire IML 98/143 a été complétée par la circulaire CSSF 04/155 sur la fonction compliance au sein des établissements de crédit et entreprises d’investissement en tant que fonction de contrôle interne chargée de veiller au respect des normes en vigueur. En l’absence d’une réglementation similaire pour la fonction risk management, les acteurs locaux et internationaux agissant sur la place financière ont pris soin d’adapter les structures de leurs filiales et succursales à Luxembourg pour les mettre en conformité avec les exigences de contrôle interne du groupe financier qu’ils représentent.

La création d’une fonction « gestion des risques », pour les organismes de placement collectif en valeurs mobilières (OPCVM) luxembourgeois et pour ceux qui interviennent dans le fonctionnement et le contrôle de ces organismes, est définie par la circulaire CSSF 07/308 qui décrit les lignes de conduite à adopter par les OPCVM quant à l’emploi d’une méthode de gestion des risques financiers ainsi qu’à l’utilisation des instruments financiers dérivés.

La réglementation exige que « le risk management doit couvrir le risque global, le risque de contrepartie ainsi que le risque de concentration liés à l’ensemble des positions du portefeuille ». Ceci implique une concentration initiale des rôles et responsabilités de la fonction « gestion des risques » sur la détermination et le suivi des risques précités, incluant le risque de marché, qui affectent les portefeuilles d’investissement et le risque d’évaluation des instruments financiers dérivés de gré à gré. Cette disposition réglementaire initiale est complétée et élargie par la transposition de la directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009, communément connue comme Ucits IV, qui introduit, entre autres, des obligations de gestion des risques et d’information des investisseurs. S’y ajoute la directive 2010/43/CE de la Commission du 1er juillet 2010 qui définit les mesures d’exécution en matière de gestion des risques.

Cette dernière directive, transposée par voie du règlement CSSF 10-04 et précisée par la circulaire CSSF 11/512, requiert en principe l’établissement d’une fonction « gestion des risques » permanente et indépendante, d’un point de vue hiérarchique et fonctionnel, des unités opérationnelles, responsable pour (i) la mise en œuvre de la politique et des procédures de gestion des risques, (ii) la surveillance des limites de risques imposées aux OPCVM, (iii) l’aide fournie au conseil d’administration pour définir le profil de risque de chaque OPCVM géré, (iv) les rapports de risk management adressés au conseil d’administration et aux instances dirigeantes de la société de gestion de l’OPCVM, ainsi que (v) la revue des dispositifs et procédures d’évaluation des instruments dérivés négociés de gré à gré. Le règlement CSSF précité exige la mise en place d’une politique de gestion des risques permettant « d’évaluer pour chaque OPCVM (…) l’exposition de cet OPCVM aux risques de marché, de liquidité et de contrepartie, ainsi que l’exposition des OPCVM à tout autre risque, y compris le risque opérationnel, susceptible d’être significatif pour les OPCVM ». L’approche réglementaire initiale qui consistait à assurer une surveillance des risques inhérents à la gestion de portefeuille a par conséquent été sensiblement étendue à la couverture de tous les risques qui pourraient impacter la gestion d’un OPCVM dans son ensemble.

La fonction « gestion des risques » ne voit plus ses attributions primaires dans la détermination et le suivi de critères quantitatifs généralement imposés par une régulation, à l’instar d’une surveillance du respect des limites d’investissement définies sous Ucits IV pour assurer une diversification des investissements ou du calcul mathématique du risque global du portefeuille. La fonction est maintenant censée adopter une approche holistique par rapport aux évaluations métriques et qualitatives des risques en question. Ceci est particulièrement pertinent en considérant le risque opérationnel inhérent aux opérations d’investissement et d’administration d’un fonds d’investissement, activités qui sont conduites sous la responsabilité d’une société de gestion et souvent externalisées vers des professionnels de support sis à ou en dehors du Luxembourg.

Ces opérations à échelle internationale posent certes un défi non négligeable en termes de gestion des risques centralisée au sein de la société de gestion luxembourgeoise qui se trouve généralement soumise aux exigences des réglementations nationales ainsi qu’aux standards de risk management définis au sein du groupe financier dont elle fait partie.

La fonction « gestion des risques » dans l’industrie des fonds d’investissement a été officialisée récemment et a connu une évolution impressionnante. Le concept de risk management transposé sous Ucits IV trouvera son application pour les fonds non-Ucits, dits alternatifs, ainsi que pour les fonds d’investissement spécialisés très prochainement.