Les indicateurs clés de risque – ou KRI – sont des mesures de type “canari dans le coalmine” qui peuvent vous alerter sur l’évolution de la situation.
Ils vous indiquent à l’avance une augmentation ou une diminution de l’exposition aux risques dans différents domaines de l’entreprise. Les organisations de toutes tailles peuvent utiliser les KRI pour gérer les risques de manière proactive plutôt que de réagir après coup.
Si les KRI ont un réel potentiel d’amélioration de votre programme ERM – et de l’engagement de la direction -, il n’existe pas de consensus sur ce qu’il convient de mesurer ou sur l’usage qui doit être fait des KRI.
Pourquoi les indicateurs clés de risque sont-ils importants ?
En général, les indicateurs clés de risque sont utiles parce qu’il est pratiquement impossible d’évaluer en permanence tous les risques de votre profil.
Les KRI fournissent à votre organisation des informations précieuses sur les menaces internes et externes.
Ils vous aident à identifier les signes avant-coureurs de changement afin que vous puissiez prioriser vos efforts pour traiter les risques avant qu’ils ne causent des dommages.
Vous avez besoin d’un indicateur, d’une sorte de drapeau qui surgit et dit : “Regardez-moi ! quelque chose a changé”, explique Rob Quail, expert reconnu en GRE et invité vedette de la série de webinaires éducatifs Risk@Work.
Caractéristiques d’une bonne KRI
Les KRI spécifiques varient en fonction de l’entreprise, du secteur et du profil de risque.
Voici quelques caractéristiques d’indicateurs de risque clés solides :
- Pertinente: Un bon KRI aura un lien clair avec l’entreprise et une valeur prédictive prouvée.
Si l’IRK augmente, vous devez être certain que cela indique un changement dans le risque en question. - Mesurables: Les KRI doivent être mesurables et précis.
Vous devez être en mesure de quantifier facilement vos indicateurs sans avoir à vous plonger dans une multitude de bruits extérieurs. - Comparable: Un bon KRI est comparable à d’autres KRI, à des points de référence sectoriels et à d’autres chiffres qui vous aident à déterminer si les conditions ont changé.
- Actionnables: Les bons KRI sont exploitables et fournissent des informations que vous pouvez utiliser pour prendre des décisions et hiérarchiser vos ressources.
- Accessibles: Les données doivent être facilement accessibles, qu’il s’agisse de données que vous mesurez déjà, de données qu’il serait simple de commencer à mesurer ou de données qui peuvent être extraites d’une source externe.
- Cohérente: Un bon KRI est fiable, ce qui vous permet de suivre les changements au fil du temps.
Il est également important que vos KRI soient faciles à comprendre.
“Les KRI finissent par figurer dans les rapports du conseil d’administration”, souligne M. Quail.
“L’équipe dirigeante doit comprendre pourquoi et comment la mesure est liée au risque.
Exemples d’indicateurs de performance clés communs
Les KRI mesurent des éléments tels qu’un changement d’impact, de valeur ou de ce qui est considéré comme crédible.
Ils peuvent également mesurer les changements dans les circonstances externes qui entraîneront une menace plus importante pour les objectifs stratégiques.
Les KRI spécifiques de votre entreprise dépendront de votre secteur d’activité, de votre portefeuille de produits et de votre portefeuille de risques, mais voici quelques KRI courants :
Financier
Les KRI financiers externes peuvent mesurer les conditions économiques ou les changements réglementaires.
Les KRI financiers internes peuvent suivre les modifications apportées aux budgets, aux objectifs de croissance des ventes ou aux dépenses.
Technologie
Les KRI technologiques peuvent suivre la disponibilité des systèmes, les failles de sécurité ou le nombre de cyberattaques au cours d’une période donnée.
Opérationnel
Les KRI opérationnels mesurent des éléments tels que l’efficacité des contrôles internes, l’efficience des processus, la qualité des produits et les changements apportés aux objectifs stratégiques.
Ressources humaines
Les indicateurs clés de performance des ressources humaines peuvent permettre de suivre la rotation du personnel, les taux de conversion des recrutements et l’engagement des employés.
Tous les indicateurs clés de performance ne se valent pas.
Réduisez votre liste d’indicateurs potentiels en vous concentrant sur ceux qui sont les meilleurs prédicteurs du changement et les plus faciles à mesurer.
Le suivi régulier d’une liste restreinte d’indicateurs clés de performance vous permettra de détecter les signes de changement – positifs ou négatifs – et de réagir efficacement.
Indicateur clé de performance et indicateur clé de risque
Les indicateurs clés de risque et les indicateurs clés de performance sont tous deux des paramètres importants pour mesurer les progrès accomplis.
Mais ils servent des objectifs différents dans la gestion des risques et ne sont pas interchangeables.
Les indicateurs clés de performance sont des paramètres qui mesurent les performances d’une entreprise, généralement par rapport à ses objectifs ou à ses initiatives en matière de performance.
Il s’agit de mesures reproductibles des résultats qui ont un lien étroit avec l’activité de l’entreprise.
Par exemple, une entreprise peut contrôler les ventes trimestrielles ou le nombre total d’affaires conclues pour mesurer les performances par rapport aux objectifs de vente.
Les indicateurs clés de performance, quant à eux, ne sont que des indicateurs avancés.
Leur but est d’aider à prédire si un ICP sera atteint.
Les indicateurs clés de risque vous indiquent si vous avez plus ou moins de chances d’atteindre vos objectifs.
Notez toutefois qu’un ICP pour un domaine peut devenir un ICR pour un autre, en raison de l’effet de cascade du risque.
Une défaillance technologique, par exemple, est un ICR courant.
Les effets en aval de cette défaillance technologique sur la productivité, l’engagement des employés, la réputation, etc. pourraient en faire un ICR pour ces domaines.
Le rôle des KRI dans la gestion des risques de l’entreprise
Pour être efficaces, les KRI doivent faire partie d’un programme de GRE bien établi.
L’appétit pour le risque, par exemple, est ce qui permet d’établir les seuils qui déterminent si un risque est en hausse ou en baisse.
Connaître votre appétit pour le risque est un élément important d’un programme de GRE efficace et est souvent déterminé lors d’un atelier sur le risque.
“Les KRI ne sont pas des outils de gestion des risques d’entrée de gamme”, souligne M. Quail.
“Vous devez déjà connaître vos risques et leurs sources, et avoir une certaine compréhension de votre appétit pour chacun de vos objectifs stratégiques. Vous devez également avoir une équipe de direction qui aime suffisamment la GRE pour vouloir avoir ces conversations.
En effet, la conversation est l’un des avantages les plus importants de la GRE – et les KRI peuvent générer beaucoup de conversations productives qui peuvent révéler de nouvelles idées permettant d’identifier les risques émergents, de redéfinir les priorités ou de réaffecter les ressources.
“Si les KRI ne stimulent pas de nouvelles conversations, elles ne sont d’aucune utilité pour votre organisation”, explique M. Quail.
“Utilisez-les pour mieux comprendre les risques et aider l’organisation à prendre de meilleures décisions.
Pour en savoir plus sur l’ERM, téléchargez l’ebook Charting a Course for Enterprise Risk Management et découvrez la solution logicielle ERM de Riskonnect.