Les données sur les risques offrent aux organisations la possibilité d’exploiter des informations qui les aideront à mettre en place un programme de gestion du risque opérationnel (ORM) plus solide, intégré dans un cadre efficace de gestion du risque d’entreprise (ERM). L’impératif pour les professionnels du risque – et le défi, à mesure que le volume des données d’entreprise augmente – est donc d’extraire les bonnes données et d’obtenir l’adhésion des bonnes parties prenantes pour définir les mesures du risque opérationnel les plus utiles pour soutenir les stratégies de l’entreprise. Dans « Indicators and metrics used in enterprise risk management » (Department of Informatics and Economic Cybernetics, The Bucharest Academy of Economic Studies), il est suggéré que l’utilisation d’indicateurs dans la gestion du risque opérationnel permettra à chaque entreprise d’avoir « une vision holistique des événements potentiels qui peuvent affecter la réalisation des objectifs de l’organisation ». Grâce à cette vision globale, la direction disposera des informations nécessaires pour prendre des décisions commerciales fondées sur des données. Les décisions stratégiques cruciales ne seront pas prises « à l’aveuglette ». L’utilisation d’indicateurs présente de nombreux avantages. Ceux cités dans le document « Indicateurs et mesures utilisés dans la gestion des risques de l’entreprise » sont les suivants :

  • Identification précoce des tendances et des problèmes
  • Une source d’informations essentielles pour les contrôles
  • Un moyen de reconnaître les améliorations ou les signes d’aggravation des situations
  • Aide à la prise de décision fondée sur l’information
  • Les fondements d’une gestion proactive
  • Améliorer les estimations et les performances futures
  • Évalue les succès et les échecs
  • Amélioration de la satisfaction des parties prenantes

Quels indicateurs pour une gestion efficace des risques ?

Quels sont donc les indicateurs que les professionnels du risque devraient utiliser ? Les professionnels du risque considèrent souvent trois types d’indicateurs principaux : Les indicateurs clés de risque (KRI ) – il s’agit généralement d’indicateurs prédictifs, qui signalent qu’un événement indésirable devient de plus en plus probable ou que son potentiel d’impact augmente. Après l’événement, ils peuvent également indiquer que les risques se sont concrétisés et révéler l’ampleur de leur impact. Indicateurs clés de performance (ICP) – ces paramètres sont liés à des facteurs internes, par opposition aux circonstances externes du marché, et indiquent le succès ou les progrès démontrables vers l’obtention du résultat souhaité. Ils peuvent être utilisés de manière positive pour démontrer la réalisation des objectifs, mais aussi pour signaler l’évolution précoce des risques. Indicateurs clés de contrôle (ICC) – également appelés indicateurs d’efficacité du contrôle, ces paramètres révèlent dans quelle mesure un contrôle permet d’atteindre les objectifs fixés, par exemple la prévention des pertes, à un moment donné. Si les contrôles ne fonctionnent pas comme prévu, la probabilité ou l’impact du risque peut changer. En tant que tels, les ICK sont souvent prédictifs, bien qu’ils puissent également fournir une détection précoce des risques qui commencent à se manifester.

Les KRI ne doivent pas être confondus avec les KPI.

Le document intitulé « Indicateurs et mesures utilisés dans la gestion des risques de l’entreprise » souligne que les gestionnaires de risques doivent être en mesure de faire la distinction entre les KRI et les KPI. Il précise que « les indicateurs clés de performance se concentrent surtout sur la performance historique de l’entreprise ou de ses opérations clés et sont importants pour une gestion réussie. D’autre part, les KRI fournissent des indicateurs en temps réel qui offrent des informations sur les risques émergents… Les KPI nous disent si nous atteindrons nos objectifs et les KRI nous aident à comprendre les changements dans le profil de risque, l’impact et la probabilité d’atteindre nos objectifs. Si l’on fait la distinction entre les deux types d’indicateurs clés, nous serons très clairs sur les types de questions auxquelles nous voulons répondre par le biais de ces indicateurs et sur la manière dont nous définirons ces indicateurs afin d’améliorer la qualité de la gestion et la clarté des résultats ». Il ne fait aucun doute que les KRI, les KPI et les KCI sont tous liés. Le personnel chargé de la gestion des risques doit comprendre comment ou pourquoi les indicateurs sont corrélés à l’évolution des profils de risque pour que les mesures soient efficaces. En substance, les indicateurs donnent une « image » de l’organisation et les mesures permettent d’évaluer si l’activité GRE est sur la bonne voie.

Mesures – ni trop, ni trop peu

Combien d’indicateurs sont les plus utiles ? S’il y en a trop, on consacrera à leur gestion un temps qui aurait pu être consacré à d’autres tâches essentielles. Un excès d’informations peut également être préjudiciable : les professionnels du risque peuvent avoir du mal à distinguer les informations essentielles et ne tirer que peu de valeur des indicateurs utilisés. En revanche, un nombre insuffisant d’indicateurs peut ne pas générer suffisamment d’informations pour que les données soient significatives. Pour trouver le bon équilibre, il est essentiel que les indicateurs utilisés soient pertinents, mesurables, faciles à contrôler, vérifiables et comparables. En fin de compte, les questions clés que les professionnels du risque devraient se poser sont peut-être les suivantes : « Est-ce que je constate des améliorations dans l’entreprise ? Les priorités de l’entreprise sont-elles alignées sur les risques changeants ou émergents ? Les risques sont-ils atténués et les pertes évitées ? Si vous répondez par l’affirmative, les indicateurs, mis bout à bout, font leur travail, générant des données qui peuvent être exploitées pour définir des contrôles plus solides et informer la prise de décision alignée sur la stratégie de l’entreprise.