Les critères de risque constituent un point de référence important pour évaluer l’importance du risque. Ils relient la stratégie à l’action et vous aident à déterminer si vous prenez le bon niveau de risque. Les critères de risque peuvent également autoriser les décideurs à prendre plus de risques pour obtenir le bon rendement et utiliser efficacement les ressources disponibles.

Aussi essentiels que soient les critères de risque pour un programme de gestion des risques de l’entreprise, ils sont souvent éclipsés par des outils plus visibles tels que les cartes thermiques et les indicateurs clés de risque. De nombreuses organisations considèrent les critères de risque comme quelque chose qui fonctionne en arrière-plan, prenant rarement le temps de les réexaminer ou de les mettre à jour en fonction de l’évolution de la situation.

Des critères de risque bien conçus sont également complexes – et il n’est pas facile de les élaborer. Il faut du temps et des efforts pour créer un instrument de mesure permettant de comprendre et de relier l’appétit pour le risque, la tolérance au risque et la stratégie. Mais si votre instrument de mesure n’est pas adapté, comment saurez-vous si vous prenez les bons risques pour atteindre vos objectifs stratégiques ?

Un point de référence cohérent

Les critères de risque fournissent une interprétation claire de la tolérance et de l’appétit pour le risque dans le cadre de vos objectifs globaux. La nature cohérente des critères de risque élimine les biais cognitifs qui peuvent se glisser dans les périodes d’incertitude. Cela peut vous aider à éviter les jugements hâtifs qui ne sont pas dans votre intérêt à long terme.

Les critères de risque établissent également un langage commun pour une communication efficace sur le risque, ce qui est important puisque la stimulation d’une conversation utile est l’une des parties les plus importantes d’un programme de GRE. Lorsque la discussion porte sur l’action, les critères de risque peuvent également être utilisés pour hiérarchiser les ressources. Cela est particulièrement utile en cas d’objectifs contradictoires.

Trouver des critères de risque significatifs

Pour élaborer des critères de risque, commencez par vous poser deux questions : Quel niveau de risque prenez-vous actuellement ? Et ce niveau de prise de risque est-il acceptable ?

Une fois que vous aurez obtenu des réponses précises, vous pourrez passer à la définition des critères spécifiques à votre entreprise. Notez que les critères de risque ne sont pas des outils prêts à l’emploi. Pour être utiles, ils doivent être calibrés en fonction de la stratégie, des objectifs, des mesures et de l’appétit pour le risque de votre entreprise. Revenez régulièrement sur vos critères pour vous assurer que les conditions actuelles se reflètent dans la manière dont vous hiérarchisez les risques.

Voici six étapes qui vous serviront de guide :

  1. Définissez vos objectifs stratégiques. Quels sont vos objectifs de croissance ? Où essayez-vous de placer la barre ? Quels sont les autres aspects auxquels vous attachez de l’importance – par exemple, la sécurité, l’environnement, la conformité aux réglementations, votre réputation ? Incluez les éléments qui vous tiennent à cœur et pour lesquels vous dépensez de l’argent, même s’ils ne sont pas explicitement mentionnés dans votre stratégie.
  2. Choisissez des mesures pour votre tableau de bord. Quelles sont les mesures qui reflètent le mieux l’échec et le succès ? Discutez avec des experts et des responsables de fonctions (finances, ressources humaines, ventes, etc.) et extrayez les mesures qui comptent – et qui sont immédiatement compréhensibles. Et si ces indicateurs n’existent pas, profitez-en pour les mettre en place.
  3. Définissez l’événement. Qu’est-ce qu’un résultat indésirable ou non prévu ? Dans certains cas, un résultat qui n’est pas du tout à la hauteur peut entraîner des catastrophes en spirale. Prendre le temps de visualiser les circonstances indésirables vous aide à évaluer l’impact que des événements spécifiques peuvent avoir sur vos opérations, votre réputation et vos résultats.
  4. Identifiez les points d’arrivée. Qu’est-ce qui constituerait une catastrophe ? Quel type de résultat par rapport à chacune de vos mesures détruirait effectivement votre stratégie et causerait un préjudice irréparable à l’entreprise ? Et quels types d’événements ne seraient considérés que comme problématiques ? Le résultat le plus grave est votre limite ou point d’ancrage.
  5. Déterminer l’écart intolérable. Quel est l’écart acceptable par rapport à votre objectif et quel est l’écart inacceptable ? Quels sont les indicateurs qui vous permettront de savoir si vous vous approchez d’un écart inacceptable ? Dans certains cas, vous devrez peut-être approfondir la question, appliquer d’autres critères et évaluer le risque de manière plus formelle.
  6. Complétez les points entre le risque tolérable et le risque intolérable. Utilisez votre tableau de bord, vos points d’arrivée et vos écarts pour définir les limites de ce qui est acceptable et de ce qui ne l’est pas, c’est-à-dire votre tolérance au risque. Vous voudrez examiner de plus près les risques qui pourraient, de manière crédible, dépasser votre seuil de tolérance.

Autres considérations lors de l’élaboration des critères de risque

Les critères de risque sont également façonnés par des forces telles que la vitesse du risque. Dans le monde de la gestion des risques, la vitesse est l’intervalle de temps qui s’écoule entre la survenue d’un événement et son impact maximal.

Imaginez une ligne de temps pour marquer le moment où quelque chose explose, le moment où il est détecté et le moment où il a un impact sur l’entreprise. Pour les risques à forte vélocité, comme les cybermenaces, l’événement peut se produire si rapidement que vous n’avez pas le temps de mettre en place des mesures pour empêcher le mal de se produire. Les risques à faible vélocité – comme un changement dans le paysage concurrentiel – se produisent au fil du temps, ce qui vous laisse une marge de manœuvre pour les atténuer.

Il faut également tenir compte des contrôles que vous avez mis en place pour empêcher la survenance du risque ou pour gérer son impact. Vos efforts sont-ils adaptés au risque ? Avez-vous mis en place des plans ? Des personnes sont-elles responsables de l’exécution de ces plans ? Vérifiez-vous que tout fonctionne correctement ? Devez-vous procéder à des ajustements ? Si ces éléments sont en place, vous pouvez dire que le risque est entièrement maîtrisé. L’étape ultime consiste à demander à un tiers indépendant de tester périodiquement les contrôles liés aux risques les plus graves.

La dernière considération est la probabilité que le risque se produise. La manière la plus efficace d’évaluer la probabilité est d’examiner vos risques dans le contexte de chacun d’entre eux. Accordez une attention particulière aux risques qui pourraient vraisemblablement se produire et pour lesquels une préparation pourrait empêcher qu’ils ne se produisent ou du moins limiter les dégâts.

Et maintenant ?

Vous pouvez utiliser les critères de risque dans tout scénario dans lequel vous devez évaluer ou communiquer les risques et les opportunités – comme les évaluations des risques, les ateliers sur les risques et l’identification des risques d’un projet. Une fois que vous avez effectué cette analyse et établi vos critères de risque, vous êtes également libre de faire les choses différemment afin d’assumer le niveau de risque approprié. Au lieu de protéger votre réputation à tout prix, par exemple, vous pouvez décider que la récompense de certains changements opérationnels bénéfiques pour l’entreprise vaut le risque que tous les employés n’en soient pas satisfaits.

« Des critères de risque bien définis sont d’une aide précieuse dans de nombreux aspects de la gestion des risques d’entreprise », explique Rob Quail, auteur reconnu et expert en gestion des risques d’entreprise. « Les critères de risque sont vos points de déclenchement qui indiquent que le risque doit être communiqué vers le haut. C’est ainsi que l’on surmonte les préjugés et que l’on peut comparer les risques. Vous pouvez ensuite intégrer toute cette logique dans les principaux processus opérationnels. De meilleures conversations conduisent à une meilleure prise de décision sur les priorités ».

Pour en savoir plus sur l’ERM, téléchargez notre ebook, Charting a Course for Enterprise Risk Management, et découvrez le logiciel ERM de Riskonnect.