Une démarche de gestion de risques est par essence dynamique. La criticité des risques varie en fonction de l’avancée des plans d’actions identifiés ou de leur apparition. En effet, de nouveaux risques apparaissent constamment, en fonction des changements organisationnels ou stratégiques, des incidents subis par les concurrents, etc.
À quoi servent les KPI : indicateurs de performance ?
Le fait de mesurer ce dynamisme est révélateur de l’adhésion de votre organisation à la démarche risques. Le Risk Manager, en tant que pilote de la démarche, doit donc mettre en place des indicateurs de mesure de l’évolution des risques qui serviront à évaluer l’efficacité de vos plans d’action. Ceux-ci peuvent être simples (nombre de risques entre deux périodes, nombre de risques dont la mesure a évolué) ou un peu plus complexes (nombre de risques ayant atteint la criticité cible définie).
Pilotage des KPI
La définition de ces indicateurs doit être anticipée et intégrée dans la réflexion sur votre future méthodologie de gestion des risques. Ils devront également être validés par la Direction Générale puisqu’ils constitueront un des éléments du reporting fait par le Risk Manager.
Au-delà de ce tableau de bord, le Risk Manager devra utiliser la cartographie des risques comme base de son reporting. Se pose alors une autre problématique : si une seule cartographie est possible pour présenter un nombre limité de risques, elle devient rapidement illisible lorsque l’on dépasse une trentaine de risques. Il devient alors nécessaire de mettre en place des filtres pour présenter des groupes de risques, ce qui implique une fois encore de l’avoir anticipé lors de la définition de la méthodologie de gestion de risques. C’est tout l’enjeu de ce que l’on appelle l’univers du risque.
Généralement, la gouvernance demandera des vues de la cartographie par famille de risques (risque de type juridique, environnemental, etc), par processus, par causes (risque ayant un impact financier, juridiques,…) ou par structure impactée.
Le management quotidien des propriétaires des risques
Un autre acteur central au pilotage de la gestion des risques est la communauté des propriétaires de risques. Le propriétaire d’un risque donné doit en effet être en mesure de le piloter, suivre son évolution et de rendre compte au Risk Manager et à la gouvernance.
Pour ce faire, il doit se doter d’un outil qui lui permette de suivre les plans d’actions choisis pour circonscrire le risque. Il s’agit d’ un élément fondamental pour justifier de l’atteinte de la criticité cible.
Le propriétaire de risque suit également les incidents liés aux risques dont il a la charge. Derrière le terme « incident », il faut comprendre « survenance du risque ». Ainsi, ce recensement lui permettra d’affiner la mesure de la criticité du risque, mais également de mesurer l’efficacité de son dispositif de maîtrise et donc d’affiner sa stratégie de réponse.
Mais sans attendre l’ apparition d’un incident, le propriétaire du risque doit suivre de manière dynamique le dispositif de maitrise de chaque risque. En d’autres termes, il doit évaluer l’efficacité de l’ensemble des éléments (procédure, organisation, contrôles, …) mis en œuvre pour limiter l’impact ou la probabilité de survenance d’un risque. Cette évaluation se fera au fil de l’eau, généralement sur la base des indicateurs de management mis en place dans l’organisation mais aussi, plus ponctuellement, lors des revues du processus lié au risque ou lors d’audits internes.
Les indicateurs de reporting et outils de suivi des risques sont donc indispensables au dynamisme de la gestion des risques, mais sont tout aussi complexes. Ils nécessitent une réflexion poussée dès le lancement de la démarche et non pas après-coup, comme on le constate hélas trop souvent.
Contenu de l'article
