« Il est impossible de conduire une automobile sans avoir accès à des indicateurs sur des facteurs tels que la vitesse ou la température. De même, la direction nécessite des indicateurs pour soutenir une prise de décision efficace et s’assurer qu’elle oriente l’organisation loin des menaces pesant sur ses objectifs stratégiques et opérationnels. »
Le guide des bonnes pratiques sur les indicateurs clés de risque opérationnel de l’Institut du Risque suggère que, bien que les gestionnaires ne soient pas étrangers aux indicateurs et aux mesures – ils les utilisent quotidiennement pour assumer leurs responsabilités et faciliter la prise de décision – ils devraient tirer parti des indicateurs de risque opérationnel comme moyen abordable de surveiller l’exposition au risque. Une meilleure sensibilisation aux risques et la base pour « des décisions de gestion opérationnelle des risques bien informées » résulteront toutes deux d’un cadre de gestion des risques opérationnels bien organisé (le « saint graal » des meilleures pratiques en matière de gestion des risques opérationnels).
Les indicateurs de performance clés en tant qu’outil d’intelligence économique
Selon l’IOR, les Indicateurs Clés de Risque (ICR) devraient être considérés comme des indicateurs appliqués aux risques opérationnels auxquels une organisation pourrait être fortement exposée, qui pourraient compromettre la réalisation des objectifs opérationnels ou sortir de l’appétit pour le risque. Les indicateurs peuvent également être utilisés pour mettre en évidence les aspects positifs, tels qu’un contrôle interne efficace lorsqu’ils se situent dans des seuils définis, et pour fournir l’assurance au conseil d’administration et aux parties prenantes que les risques sont gérés de manière appropriée.
Dans un tel contexte, afin d’identifier efficacement quels risques opérationnels sont « clés », l’IOR orienterait les professionnels du risque vers son guide d’Auto-évaluation du Contrôle des Risques (AECR), disponible en téléchargement. Les risques clés seront ceux présentant les scores d’exposition au risque inhérent et/ou résiduel les plus élevés.
En tant qu’outil d’intelligence d’affaires, les indicateurs peuvent soutenir :
- Surveillance, évaluation et modélisation des risques
- La mise en œuvre d’un cadre d’appétit pour le risque
- Gouvernance d’entreprise et assurance
Caractéristiques souhaitables des KRI
Après un chapitre consacré à l’utilisation des indicateurs, le guide sur les indicateurs clés de risque décrit les caractéristiques souhaitables des indicateurs. Lors de la sélection d’indicateurs de risque opérationnel efficaces, il est conseillé de veiller à ce qu’ils soient pertinents, mesurables, tournés vers l’avenir, faciles à collecter et à suivre, comparables et vérifiables. Le document explique en détail pourquoi ces caractéristiques sont importantes et, dans chaque cas, les facteurs à prendre en considération du point de vue des meilleures pratiques.
Fixer des seuils et des limites
Le guide explique ensuite les processus qui peuvent être utilisés pour sélectionner un ensemble d’indicateurs – en considérant les avantages et les inconvénients d’adopter une approche descendante ou ascendante – et pour fixer des seuils et des limites appropriés. « Il faut souligner que, comme les indicateurs sont des approximations, l’objectif n’est pas de gérer l’indicateur, mais plutôt les expositions aux risques opérationnels. Un dépassement d’un indicateur est un signal de menaces potentielles à venir… Les limites et les seuils devraient refléter la mise en œuvre de l’énoncé d’appétit pour le risque diffusé dans toute l’organisation. » Pour référence, des directives distinctes sont disponibles dans le Guide des Bonnes Pratiques de l’IOR sur l’Appétit pour le Risque Opérationnel.
Une fois les seuils établis, les organisations doivent déterminer les réponses en cas de dépassement des seuils. Les ‘conditions de déclenchement’ déterminent quelle action doit être entreprise et qui en est responsable dans chaque cas. En plus d’être liés à l’appétit pour le risque d’une organisation, il est recommandé que les déclencheurs soient connectés au ‘degré de sophistication requis dans le système d’alerte et doivent prendre en compte les ressources nécessaires (personnel, systèmes et coûts) pour mettre en œuvre des structures plus sophistiquées.’
Gestion des indicateurs de risque et rapports
En guise de mise en garde, beaucoup d’efforts seront perdus sans consacrer suffisamment de temps et de ressources à la gestion et au reporting des indicateurs clés de risque. Au minimum, des examens annuels sont suggérés, comme moyen d’assurer la pertinence, bien que la fréquence optimale soit déterminée par la nature d’une entreprise et son échelle et sa complexité opérationnelle.
Les risques opérationnels seront sujets à changement, donc un système d’ajout ou de modification des indicateurs clés de risque opérationnel devrait être mis en place, avec des procédures et des processus de gouvernance clairement définis pour contrôler l’établissement ou la modification des niveaux de seuil ou de limite.
Concernant le reporting, le conseil principal est que « dans la mesure du possible, les rapports d’indicateurs de risque opérationnel devraient être élaborés en collaboration avec leur public cible, pour assurer une compréhension et une utilisabilité maximales » – du conseil d’administration et de la haute direction divisionnaire aux niveaux des unités d’affaires ou des équipes et des fonctions de support en conséquence. Une coordination centrale est avantageuse pour assurer la cohérence et la capacité à comparer les rapports ou à les agréger pour la haute direction. Des détails complets sur la façon dont les rapports d’indicateurs peuvent être présentés de manière conviviale, avec un langage clair et des aides visuelles utiles sont fournis, ainsi que des exemples de rapports.
Certes, une gestion et un reporting efficaces des indicateurs de risque peuvent prendre du temps, mais selon l’IOR, les avantages qui en résultent en valent bien la peine : « La direction est effectivement aveugle sans accès aux mesures de risque appropriées ».
