Indicateurs de risque clés – les bonnes mesures pour la gestion

Sword GRC Blog

Indicateurs de risque clés - les bonnes mesures pour la gestion

«Il est impossible de conduire une voiture sans avoir accès à des paramètres tels que la vitesse ou la température. De même, la direction a besoin de mesures pour soutenir une prise de décision efficace et pour s’assurer qu’elles éloignent l’organisation des menaces pour ses objectifs stratégiques et opérationnels. »

L’Institut du Risque Indicateurs de risque clés Orientations sur les bonnes pratiques en matière de risques opérationnels suggère que si les gestionnaires ne sont pas étrangers aux indicateurs et aux mesures – ils les utilisent quotidiennement pour assumer leurs responsabilités et pour aider à la prise de décision – ils devraient tirer parti des indicateurs de risque opérationnel comme moyen abordable de surveiller l’exposition au risque. Une meilleure prise de conscience des risques et la base de «décisions de gestion opérationnelle des risques bien informées» résulteront toutes deux d’un cadre de gestion des risques opérationnels bien organisé (le «Saint Graal» pour les meilleures pratiques de gestion des risques opérationnels).

Les KRI en tant qu’outil de Business Intelligence

Le point de vue de l’IOR est que les indicateurs de risque clés (KRI) doivent être traités comme des indicateurs appliqués aux risques opérationnels auxquels une organisation peut être fortement exposée, ce qui peut compromettre la réalisation des objectifs opérationnels ou ne pas correspondre à l’appétit pour le risque. Des indicateurs peuvent également être utilisés pour mettre en évidence les aspects positifs, tels qu’un contrôle interne efficace lorsqu’ils se situent à l’intérieur des seuils définis, et pour fournir l’assurance que les risques sont gérés de manière appropriée pour le conseil d’administration et les parties prenantes.

Dans un tel contexte, afin d’identifier efficacement quels risques opérationnels sont “ clés ”, l’IOR orienterait les professionnels du risque vers ses Auto-évaluation du contrôle des risques (RCSA) guide, disponible au téléchargement ici . Les risques clés seront ceux dont les scores d’exposition au risque inhérent et / ou résiduel sont les plus élevés.

En tant qu’outil de veille économique, les indicateurs peuvent prendre en charge:

  • Surveillance, évaluation et modélisation des risques
  • La mise en place d’un cadre d’appétit au risque
  • Gouvernance d’entreprise et assurance

Caractéristiques souhaitables du KRI

À la suite d’un chapitre consacré à ce pour quoi les indicateurs peuvent être utilisés, le guide sur les indicateurs de risque clés décrit quelles devraient être les caractéristiques souhaitables des indicateurs. Lors de la sélection d’indicateurs de risque opérationnel efficaces, le conseil est qu’ils doivent être pertinents, mesurables, prospectifs (leaders), faciles à collecter et à surveiller, comparables et vérifiables. Le document détaille pourquoi ces caractéristiques sont importantes et, dans chaque cas, les facteurs à considérer du point de vue des meilleures pratiques.

Définition des seuils et des limites

Le guide explique ensuite les processus qui peuvent être utilisés pour sélectionner un ensemble d’indicateurs – en tenant compte des avantages et des inconvénients d’une approche descendante ou ascendante – et pour fixer des seuils et des limites appropriés. «Il faut souligner que les indicateurs étant des proxys, l’objectif n’est pas de gérer l’indicateur, mais plutôt les expositions au risque opérationnel. Une violation d’un indicateur est un signal de menaces potentielles à venir… Les limites et les seuils doivent refléter

la mise en œuvre de l’énoncé de l’appétit pour le risque s’est répercutée sur l’organisation. » Pour référence, des conseils séparés sont disponibles dans le Guide de bonnes pratiques de l’IOR sur l’appétit au risque opérationnel.

Une fois les seuils définis, les organisations doivent déterminer les réponses en cas de dépassement des seuils. Les «conditions de déclenchement» déterminent quelle action doit être entreprise et qui est responsable de le faire dans chaque cas. En plus d’être liés à l’appétit pour le risque d’une organisation, la recommandation est que les déclencheurs doivent être liés au « degré de sophistication requis dans le système d’alerte et doivent tenir compte des frais généraux de ressources (personnes, systèmes et coûts) nécessaires pour mettre en œuvre des structures plus sophistiquées. . “

Gestion des indicateurs de risque et reporting

En guise d’avertissement, beaucoup d’efforts seront perdus sans consacrer suffisamment de temps et de ressources à la gestion et au reporting des principaux indicateurs de risque. À tout le moins, des examens annuels sont suggérés, comme moyen d’assurer la pertinence, bien que la fréquence optimale soit déterminée par la nature d’une entreprise, son échelle et sa complexité opérationnelle.

Les risques opérationnels étant susceptibles de changer, un système d’ajout ou de modification d’indicateurs de risque clés opérationnels doit être mis en œuvre, ainsi qu’une procédure et des processus de gouvernance clairement définis pour contrôler l’établissement ou la modification des seuils ou des seuils.

En ce qui concerne les rapports, les conseils de première ligne sont que “ lorsque cela est possible, les rapports sur les indicateurs de risque opérationnel doivent être élaborés en collaboration avec leur public cible, pour assurer une compréhension et une facilité d’utilisation maximales ” – du conseil d’administration et de la direction générale de la division à l’unité commerciale ou aux équipes et à la fonction de support niveaux en conséquence. La coordination centrale est avantageuse pour assurer la cohérence et la capacité de comparer les rapports ou de les agréger pour la haute direction. Des détails complets sur la manière dont les rapports d’indicateurs peuvent être présentés de manière conviviale, dans un langage clair et avec des aides visuelles utiles sont fournis, ainsi que des exemples de rapports.

Certes, une gestion et un reporting efficaces des indicateurs de risque peuvent prendre du temps, mais selon l’IOR, les avantages qui en résultent en valent la peine: «La direction est effectivement aveugle sans accès aux mesures de risque appropriées».

Obtenez une image complète de la fourniture des bonnes données, au bon moment et dans un format cohérent, en téléchargeant votre copie gratuite de Indicateurs de risque clés, guide de bonnes pratiques en matière de risque opérationnel à présent.