Mesures indispensables pour une gestion efficace des risques d’entreprise

Sword GRC Blog

"La direction est aveugle sans accès aux bonnes métriques"

Les données sur les risques offrent aux organisations la possibilité d’exploiter des informations qui aideront à conduire un programme de gestion des risques opérationnels (ORM) plus robuste, intégré dans un cadre efficace de gestion des risques d’entreprise (GRE). Par conséquent, l’impératif pour les professionnels du risque – et le défi, à mesure que le volume de données d’entreprise augmente – est d’extraire les bonnes données et d’impliquer les bonnes parties prenantes pour définir les mesures de risque opérationnel les plus utiles pour soutenir les stratégies commerciales.

Dans “ Indicateurs et métriques utilisés dans la gestion des risques d’entreprise ” (Département d’informatique et de cybernétique économique, Académie des études économiques de Bucarest), il est suggéré que l’utilisation de métriques dans la GRE permettra à chaque entreprise d’avoir une vue holistique des événements potentiels susceptibles d’affecter la réalisation des objectifs de l’organisation “.

Avec une vue complète, la direction disposera des informations nécessaires pour prendre des décisions commerciales fondées sur les données. Les décisions stratégiques critiques ne seront pas prises «à l’aveugle».

L’utilisation de métriques présente de nombreux avantages. Ceux cités dans le document “ Indicateurs et métriques utilisés dans la gestion des risques d’entreprise ” comprennent:

  • Identification précoce des tendances et des problèmes
  • Une source d’informations critiques pour les contrôles
  • Un moyen de reconnaître les améliorations ou les signes d’aggravation dans les situations
  • Aide à la prise de décision basée sur l’information
  • Sous-tend une gestion proactive
  • Améliore les estimations et les performances futures
  • Évalue le succès et l’échec
  • Améliore la satisfaction des parties prenantes

Quels indicateurs pour une gestion efficace des risques?

Alors, quelles mesures les professionnels du risque devraient-ils utiliser? Les spécialistes du risque envisagent souvent trois types d’indicateurs principaux:

Indicateurs clés de risque (KRI) – ce sont généralement des indicateurs prédictifs, fournissant un signal d’alarme indiquant qu’un événement indésirable devient plus probable ou que son impact potentiel augmente. Après l’événement, ils peuvent également indiquer que des risques sont survenus et révéler l’ampleur de leur impact.

Indicateurs clés de performance (KPI) – ces mesures sont liées à des facteurs internes par opposition aux circonstances du marché externe, et indiquent un succès ou des progrès démontrables vers l’atteinte du résultat souhaité.

Ils peuvent être utilisés de manière affirmative pour démontrer l’atteinte des objectifs mais aussi pour signaler l’évolution précoce des événements à risque.

Indicateurs de contrôle clés (KCI) – également appelés indicateurs d’efficacité du contrôle, ces paramètres révèlent la mesure dans laquelle un contrôle travaille pour atteindre ses objectifs, par exemple pour éviter les pertes, à tout moment. Si les contrôles ne fonctionnent pas comme prévu, la probabilité ou l’impact du risque peut changer. En tant que tels, les KCI sont souvent prédictifs, bien qu’ils puissent également fournir une détection précoce des risques qui commencent à se manifester.

Les KRI ne doivent pas être confondus avec les KPI

Le document «Indicateurs et métriques utilisés dans la gestion des risques d’entreprise» souligne que les gestionnaires des risques devraient être en mesure de faire la distinction entre les KRI et les KPI. Il indique que «les indicateurs de performance clés se concentrent en particulier sur les performances historiques de l’entreprise ou de ses opérations clés et sont importants pour une gestion réussie. D’autre part, les KRI fournissent des indicateurs en temps réel qui offrent des informations sur les risques émergents… Les KPI nous disent si nous atteindrons nos objectifs et les KRI nous aident à comprendre les changements dans le profil de risque, l’impact et la probabilité d’atteindre nos objectifs. Si la distinction est faite entre les deux types d’indicateurs clés, nous serons très clairs sur les types de questions auxquelles nous voulons répondre à travers ces indicateurs et comment nous allons définir ces indicateurs pour améliorer la qualité de la gestion et la clarté des résultats.

Sans aucun doute, les KRI, les KPI et les KCI sont tous connectés. Le personnel chargé des risques doit comprendre comment ou pourquoi les indicateurs sont corrélés à l’évolution des profils de risque pour que les mesures soient efficaces. Essentiellement, les indicateurs donnent une «image» d’une organisation et les mesures fournissent un moyen d’évaluer si l’activité de GRE est sur la bonne voie.

Mesures – pas trop, pas trop peu

Combien de métriques offrent le plus d’avantages? S’il y en a trop, du temps sera consacré à leur gestion qui, autrement, aurait été consacré à d’autres tâches critiques. Et trop d’informations peut être préjudiciable – les professionnels du risque peuvent avoir du mal à distinguer les informations critiques, tirant ainsi peu de valeur des paramètres utilisés. Cependant, trop peu de métriques peuvent ne pas générer suffisamment d’informations pour que les données soient significatives.

Tout en trouvant le bon équilibre, il est de la plus haute importance que les métriques utilisées soient pertinentes, mesurables, faciles à surveiller, auditables et comparables.

En fin de compte, peut-être que les principales questions que les professionnels du risque devraient se poser sont: «Est-ce que je constate des améliorations dans l’entreprise? Les priorités commerciales sont-elles alignées sur les risques changeants ou émergents? Les risques sont-ils atténués et les pertes évitées? » En réponse à l’affirmative, les métriques, rassemblées, font leur travail, générant des données qui peuvent être exploitées pour définir des contrôles plus solides et éclairer la prise de décision alignée sur la stratégie commerciale.

Lectures complémentaires:

Pour votre information, les guides de bonnes pratiques de l’Institut du risque opérationnel sur les sujets des KRI, de l’analyse de scénarios, des tests de stress et de stress inversé, de la culture du risque et plus peuvent être téléchargés gratuitement, ici .

* Institut du risque opérationnel: Indicateurs de risque clés , Guide de bonnes pratiques opérationnelles