Un outil de risque correctement conçu soutient la discussion sur les risques dans votre entreprise. Il combine des indicateurs qui permettent d’estimer le risque probabilité, le risque impact, et le risque actions de contrôle.
Voici les sujets clés de l’article :
- Définition du risque
- KRI vs. KPI
- Modèle de KRI
- La liste des KRI courants
- Les logiciels de GRC : Les KRI dans BSC Designer
Les KRI ne sont pas si différents des KPI ; les outils de gestion des risques ne sont pas si différents du Tableau de bord prospectif. Commençons la discussion sur les meilleures pratiques en matière d’indicateurs clés de risque.
L’idée du risque
Qu’est-ce que le risque et comment peut-on le mesurer et le contrôler ? Intuitivement, on comprend que le risque est quelque chose concernant un danger/une menace qui pourrait se produire avec une certaine probabilité et entraîner un certain type de résultats négatifs. Cette perception est généralement correcte à une exception près : le risque ne doit pas toujours être une menace pour une entreprise, il peut aussi être une opportunité.
L’ancienne définition du risque dans l’ISO était « une chance ou une probabilité de perte », andis que la dernière version de l’ISO 31000:2009 définit le risque comme « l’effet de l’incertitude sur les objectifs ».
En d’autres termes, la définition moderne du risque reconnaît que le risque ne concerne pas seulement les menaces, mais aussi les opportunités.
La perte de votre employé clé peut être une menace d’un côté, mais d’un autre côté, vous pouvez en trouver un nouveau qui apportera à votre entreprise de nouvelles compétences et idées. Tout dépend du contexte commercial (objectifs commerciaux).
Qu’est-ce que les indicateurs clés de risque ?
Comme leur nom l’indique, les KRI sont des indicateurs qui sont clés pour le processus de gestion des risques.
- Le mot « clé » implique qu’il ne peut pas y avoir des centaines de KRI ; donc si vous avez plus de 100 KRI, alors il est fort probable que ce ne sont que des indicateurs de risque.
La plupart des principes que nous avons discutés pour les KPI (indicateurs clés de performance) s’appliquent aux KRI :
- Ils doivent avoir un contexte commercial approprié,
- Ils doivent être mesurables,
- Il faut qu’il y ait une personne responsable du KRI,
- Il faut qu’il y ait une adhésion de l’équipe, etc.
Cela dit, je vous recommande de consulter l’article : Système KPI en 12 étapes. Lors de la lecture, remplacez « KPI » par « KRI » et vous pourrez facilement utiliser toutes les mêmes idées et recommandations.
Pour l’instant, il suffit de définir les KRI comme les mesures de risque qui constituent une partie importante de votre portefeuille de gestion des risques. Comme cela découle de la définition du risque dans la norme ISO, la décision finale de ce qui est et n’est pas un risque dépend des objectifs d’une entreprise, donc soyez prudent lorsque vous copiez les KRI des autres.
La différence entre KRI et KPI
Dans certaines publications, les KPI et les KRI sont fortement divisés, les premiers sont responsables de la performance de l’entreprise et les seconds concernent le risque. À titre d’exemple d’un KPI typique qui n’est pas un KRI souvent utilisé.
- « Le bénéfice net est un KPI parce qu’il ne nous dit rien sur le niveau de risque ou la maîtrise du risque ! » – suggèrent souvent les auteurs.
Le fait est que le « Bénéfice net » en lui-même ne nous dit rien ni sur la performance ni sur la manière dont on veut l’augmenter !
Pour faire un usage du « Bénéfice net », nous devons le placer dans un contexte commercial approprié, ajouter des seuils, des marques de référence et des cibles, et ajouter un plan d’action pertinent :
- KPI : « Bénéfice net »
- Niveau actuel : 200 000 $
- Niveau de base : 205 000 $
- Objectif : 300 000 $
- Voyant d’arrêt : rouge
- Plan d’action : « Nous avons échoué à cause de l’ancienne équipe de vente ! Embauchez une nouvelle équipe de vente ! »
Examinez ce KPI ! Ne ressemble-t-il pas maintenant à un KRI ? Bien sûr, nous n’avons pas de mesures pour la probabilité et l’impact, mais nous pouvons facilement les ajouter…
Une autre réflexion qui soutient l’idée de la nature similaire des KRI et des KPI :
- Les KPI doivent être alignés sur la stratégie de l’entreprise ; et comment a-t-on déterminé cette stratégie ? N’a-t-on pas utilisé la méthode SWOT (où T signifie « menaces ») pour formuler des hypothèses (contrôle des risques) et à des solutions possibles (maîtrise des risques) ?
Bon, j’exagère, mais personnellement je ne vois pas de différence fondamentale. Je suis prêt à en débattre dans les commentaires. Pour sûr, les KRI sont plus « orientés vers le risque », mais si on a besoin, un KRI peut être converti en KPI et vice-versa.
Cartographier les risques en KRI. Définition des indicateurs clés de risque.
Voici une partie intéressante. Parlons de la gestion des risques. La gestion des risques consiste à gérer la chaîne de :
- Détecter/prédire les menaces/opportunités
- Estimer la posibilité qu’elles se produisent (leur probabilité)
- Contrôler l’impact/les résultats
Normalement, nous ne pouvons pas cartographier tous ces aspects du risque dans un seul KRI, donc nous aurons normalement besoin de 3 indicateurs :
- Un indicateur qui mesurerait la probabilité
- Un indicateur qui mesurerait le impact
- Un indicateur qui mesurerait le plan d’action
Par exemple, pour un KRI tel que « Mauvais encadrement des employés », nous aurions :
- Le temps consacré au mentorat par semaine, heures. Cet indicateur estime la probabilité du risque, moins on passe de temps à encadrer les autres , et plus l’entreprise est susceptible d’être confrontée à ce risque.
- L’indice d’engagement des employés, %. Cet indicateur permet de comprendre l’impact d’une mauvaise communication. Moins d’encadrement signifie moins d’engagement de la part des employés.
- Plan d’action : améliorer les procédures de mentorat ; l’indicateur pertinent pourrait être quelque chose comme « Formation au leadership réussie, heures. » Nous devons enseigner aux gestionnaires un paradigme de leadership adéquat qui inclurait le mentorat.
Lequel de ces indicateurs est un KRI ? Je dirais que les deux indicateurs « probabilité » et « impact » forment le KRI. Tandis que l’indicateur « plan d’action » concerne les procédures de contrôle des risques.
Modèle pour un KRI
Voici un modèle que l’on peut utiliser pour un indicateur clé de risque.
Modèle de risque :
| Indicateurs de Risque | Plan de contrôle des Risques | Indicateur d’Action | |
|---|---|---|---|
| Identification des Risques: ______________ |
Indicateur de Probabilité: ________ Indicateur d’impact: _________ |
Action 1: _________ Action 2: _________ |
Indicateur 1: _________ Indicateur 2: _________ |
L’exemple discuté ci-dessus se présentera comme suit :
| Indicateurs de Risque | Plan de contrôle des Risques | Indicateur d’Action | |
|---|---|---|---|
| Identification du Risque: « Mauvais encadrement des employés » |
Indicateur de Probabilité: Temps consacré au mentorat par semaine, heures. Indicateur d’Impact: Indice d’engagement des employés, % |
Action 1: Améliorer les procédures de mentorat |
Indicateur 1: Formation au leadership passée, heures. |
KPI avancés/retardés par rapport aux KRIs de probabilité/impact
Lors de la cartographie de la stratégie d’entreprise, nous suggérons toujours de s’assurer qu’il y a :
- Des Indicateurs avancés alignés sur les objectifs de l’entreprise,
- Des indicateurs retardés alignés sur les objectifs commerciaux, et un
- Plan d’action.
Comparez cela à la « probabilité », à l' »impact » et au « plan de contrôle » et vous verrez ce que je veux dire.
Une stratégie correctement décrite ressemble beaucoup à une évaluation des risques et des contrôles correctement réalisée.
Comment les risques apparaissent-ils sur la carte ? Culture du rapport.
Comme les objectifs commerciaux sont des projections d’une stratégie correctement définie, les risques sont des projections d’une analyse des risques correctement effectuée.
- L’étape de base consiste à commencer par une évaluation classique des risques, en dessinant des diagrammes de causes racines, en faisant un brainstorming sur les problèmes possibles et en obtenant comme résultat une liste des risques.
- L’étape la plus importante est de mettre en œuvre dans votre entreprise une culture de signalement appropriée. Les employés doivent non seulement signaler les problèmes évidents qui se sont déjà produits, mais aussi les situations où ils ont eu la chance d’éviter le problème, mais où il aurait pu se produire. De tels rapports vous permettront d’identifier des risques auxquels vous n’auriez peut-être pas pensé auparavant.
Instaurez une culture similaire à celle de la NASA : si le problème est apparu une fois, ils ont mené une recherche approfondie sur les raisons possibles de son apparition ; même s’il ne s’est pas reproduit.
Comment utiliser le modèle d’évaluation et de contrôle des risque
Le modèle d’évaluation des risques décrit ci-dessus n’est pas nouveau, mais vous en avez besoin tout comme vous avez besoin d’une carte stratégique dans la gestion des performances de l’entreprise. Des chiffres spécifiques peuvent être délicats et ne vous donneront pas d’informations précises. Pourquoi avoir ce modèle alors ?
- Comme la carte stratégique aide à discuter de la stratégie, le modèle d’évaluation des risques/le tableau de bord des risques doit être une base pour d’autres discussions liées à l’identification et au contrôle des risques.
De cette façon, vous intégrerez le contrôle des risques dans l’ADN de l’entreprise. C’est bien mieux que les rapports formels réguliers des KRI qui n’ont rien à voir avec les problèmes réels.
La liste des KRI les plus populaires
A partir d’un compte gratuit BSC Designer, vvous avez accès à plusieurs tableaux de bord des risques avec un total de 89 KRI.
Pour accéder à ces fiches de risque, suivez les étapes suivantes :
- S’inscrire avec un compte gratuit à BSC Designer Online
- Sélectionnez une Nouvelle > nouvelle tableau de bord
- Cliquez sur le menu Plus de modèles… et faites défiler vers le bas jusqu’à la section KRI
Ne prenez pas ces indicateurs de risque comme des incontournables à votre entreprise. Comme pour les KPI, les KRI doivent être alignés sur le contexte de l’entreprise, sinon vous évaluerez et tenterez de gérer des risques qui ne se produiront jamais dans votre entreprise.
Les logiciels GRC : Les KRI dans BSC Designer
Comme nous l’avons abordé dans l’article gestion d’entreprise, il n’y a pas de besoin particulier dans un logiciel GRC distinct.
Les indicateurs de risque restent des indicateurs. Ils peuvent être automatisés avec le logiciel d’exécution de stratégie que vous utilisez.
Visualiser les risques sur le tableau de bord
Afficher Tableau de bord de la transformation numérique en ligne - inscrivez-vous avec un compte gratuit pour un accès immédiat aux modèles de fiche d’évaluation 31. - Passez à l’onglet Tableau de bord
- Cliquez sur le bouton Ajouter
- Sélectionnez Actions comme type de tableau.
- Sélectionnez l’élément racine comme source de données
- Sélectionnez Risque dans le menu déroulant du type d’action.
Ci-dessous, nous expliquons comment les utilisateurs de BSC Designer peuvent suivre leurs KRIs.
Sélectionnez un indicateur et choisissez « Risque » comme unité de mesure :
Définir le plan d’atténuation des risques :
Définir la probabilité du risque :
Définir l’impact du risque :
Dans ce cas, BSC Designer peut visualiser les données nécessaires sur le graphique des risques :
Le principal avantage est que les indicateurs peuvent être alignés sur les objectifs de la carte stratégique :
Principaux enseignements
- Le risque n’est pas seulement une menace, c’est aussi une opportunité commerciale
- Mettre les KRI dans le bon contexte commercial
- Mettre en place une culture de reporting appropriée
- Utiliser le tableau de bord des risques comme base pour les discussions sur les risques
