« Il est impossible de conduire une voiture sans avoir accès à des données sur des facteurs tels que la vitesse ou la température. De même, les dirigeants ont besoin d’indicateurs pour prendre des décisions efficaces et s’assurer qu’ils éloignent l’organisation des menaces qui pèsent sur ses objectifs stratégiques et opérationnels ». Le document Key Risk Indicators Operational Risk Sound Practice Guidance de l’Institute of Risk suggère que, bien que les gestionnaires ne soient pas étrangers aux indicateurs et aux mesures – ils les utilisent quotidiennement pour assumer leurs responsabilités et faciliter la prise de décision -, ils devraient tirer parti des indicateurs de risque opérationnel en tant que moyen abordable de surveiller l’exposition au risque. Une meilleure connaissance des risques et la base de « décisions de gestion opérationnelle du risque bien informées » résulteront toutes deux d’un cadre de gestion du risque opérationnel bien organisé (le « Saint-Graal » des meilleures pratiques en matière de gestion du risque opérationnel).
Les indicateurs de performance clés en tant qu’outil d’intelligence économique
L’IOR estime que les indicateurs clés de risque (KRI) doivent être considérés comme des indicateurs appliqués aux risques opérationnels auxquels une organisation peut être fortement exposée, qui peuvent mettre en péril la réalisation des objectifs opérationnels ou sortir du cadre de l’appétit pour le risque. Les indicateurs peuvent également être utilisés pour mettre en évidence les aspects positifs, tels qu’un contrôle interne efficace lorsqu’ils se situent à l’intérieur de seuils définis, et pour donner au conseil d’administration et aux parties prenantes l’assurance que les risques sont gérés de manière appropriée. Dans un tel contexte, afin d’identifier efficacement les risques opérationnels « clés », l’IOR recommande aux professionnels du risque de se référer à son guide d’auto-évaluation du contrôle des risques (RCSA), disponible en téléchargement. Les risques clés sont ceux dont les scores d’exposition aux risques inhérents et/ou résiduels sont les plus élevés. En tant qu’outil d’intelligence économique, les indicateurs peuvent aider :
- Surveillance, évaluation et modélisation des risques
- La mise en œuvre d’un cadre d’appétit pour le risque
- Gouvernance d’entreprise et assurance
Caractéristiques souhaitables des KRI
Après un chapitre consacré à l’utilisation des indicateurs, le guide sur les indicateurs clés de risque décrit les caractéristiques souhaitables des indicateurs. Lors de la sélection d’indicateurs de risque opérationnel efficaces, il est conseillé de veiller à ce qu’ils soient pertinents, mesurables, tournés vers l’avenir, faciles à collecter et à suivre, comparables et vérifiables. Le document explique en détail pourquoi ces caractéristiques sont importantes et, dans chaque cas, les facteurs à prendre en considération du point de vue des meilleures pratiques.
Fixer des seuils et des limites
Le guide explique ensuite les processus qui peuvent être utilisés pour sélectionner un ensemble d’indicateurs – en tenant compte des avantages et des inconvénients d’une approche descendante ou ascendante – et pour fixer des seuils et des limites appropriés. « Il convient de souligner que les indicateurs étant des approximations, l’objectif n’est pas de gérer l’indicateur, mais plutôt l’exposition au risque opérationnel. La violation d’un indicateur est un signal de menaces potentielles à venir… Les limites et les seuils doivent refléter la mise en œuvre de la déclaration d’appétit pour le risque en cascade au sein de l’organisation ». Pour référence, des conseils distincts sont disponibles dans le document Sound Practice Guidance on Operational Risk Appetite de l’IOR. Une fois les seuils fixés, les organisations doivent déterminer les réponses à apporter en cas de dépassement des seuils. Les « conditions de déclenchement » déterminent l’action à entreprendre et la personne responsable de cette action dans chaque cas. En plus d’être liés à l’appétit pour le risque d’une organisation, les déclencheurs devraient être liés au « degré de sophistication requis dans le système d’alerte et doivent prendre en compte les frais généraux (personnes, systèmes et coûts) nécessaires à la mise en œuvre de structures plus sophistiquées ».
Gestion des indicateurs de risque et rapports
Il convient de rappeler que de nombreux efforts seront perdus si l’on ne consacre pas suffisamment de temps et de ressources à la gestion et à la communication des indicateurs de risque clés. Il est suggéré de procéder au moins à des révisions annuelles afin de garantir la pertinence de ces indicateurs, bien que la fréquence optimale soit déterminée par la nature de l’entreprise, sa taille et sa complexité opérationnelle. Les risques opérationnels étant susceptibles d’évoluer, il convient de mettre en place un système permettant d’ajouter ou de modifier les indicateurs de risques clés opérationnels, ainsi qu’une procédure clairement définie et des processus de gouvernance permettant de contrôler la fixation ou la modification des seuils ou des niveaux de limites. En ce qui concerne les rapports, le conseil de base est que « dans la mesure du possible, les rapports sur les indicateurs de risque opérationnel doivent être élaborés en collaboration avec le public visé, afin de garantir une compréhension et une utilisation maximales » – du conseil d’administration et de la direction générale de la division aux unités ou équipes opérationnelles et aux niveaux des fonctions de soutien en conséquence. Une coordination centrale est utile pour assurer la cohérence et la capacité de comparer les rapports ou de les agréger pour la direction générale. Des détails complets sur la manière dont les rapports d’indicateurs peuvent être présentés de manière conviviale, dans un langage clair et avec des aides visuelles utiles sont fournis, ainsi que des exemples de rapports. Il est vrai qu’une gestion et un reporting efficaces des indicateurs de risque peuvent prendre du temps, mais selon l’IOR, les avantages qui en découlent en valent la peine : « La direction est en effet aveugle si elle n’a pas accès aux indicateurs de risque appropriés ».
