Indicateurs et reporting : 2 piliers de votre gestion de risques

par Alexandre BASSE

U ne démarche de gestion de risques est par essence dynamique. La criticité des risques varie en fonction de l’avancée
des plans d’actions identifiés ou de leur apparition. En effet, de nouveaux risques apparaissent constamment, en
fonction des changements organisationnels ou stratégiques ou des incidents subis par les concurrents par exemple.

Quels indicateurs de pilotage pour le Risk Manager?

Le fait de mesurer ce dynamisme est révélateur de l’adhésion de votre organisation à la démarche risques. Le Risk
Manager, en tant que pilote de la démarche, doit donc mettre en place des indicateurs de mesure de l’évolution des
risques. Ceux-ci peuvent être simples (nombre de risques entre deux périodes, nombre de risques dont la mesure a
évolué) ou plus complexes (nombre de risques ayant atteint une criticité cible définie).

La définition de ces indicateurs doit être anticipée et intégrée dans la réflexion sur votre future méthodologie de gestion
de risques. Ils devront également être validés par la Direction Générale puisqu’ils constitueront un des éléments du
reporting fait par le Risk Manager.

Au-delà de ce tableau de bord, le Risk Manager devra utiliser la cartographie des risques comme base de son reporting.
Se pose alors une autre problématique : si une seule cartographie est possible pour présenter un nombre limité de risques,
elle devient rapidement illisible lorsque l’on dépasse une trentaine de risques. Il devient alors nécessaire de mettre en
place des filtres pour présenter des groupes de risques, ce qui implique une fois encore de l’avoir anticipé lors de la
définition de la méthodologie de gestion de risques. C’est tout l’enjeu de ce que l’on appelle l’univers du risque.

Généralement, la gouvernance demandera des vues de la cartographie par famille de risques (par exemple risque de type
juridique ou environnemental), par processus, par causes (risque ayant un impact financier ou juridiques) ou par structure
impactée.

Le suivi quotidien des propriétaires des risques

Un autre acteur central au pilotage de la gestion des risques est la communauté des propriétaires de risques. Le
propriétaire d’un risque donné doit en effet être en mesure de le piloter, suivre son évolution et de rendre compte au Risk
Manager et à la gouvernance.

Pour ce faire, il doit se doter d’un outil qui lui permette de suivre les plans d’actions choisis pour circonscrire le risque. Il
s’agit d’ un élément fondamental pour justifier de l’atteinte de la criticité cible.
Le propriétaire de risque suit également les incidents liés aux risques dont il a la charge. Derrière le terme « incident »,
il faut comprendre « survenance du risque ». Ainsi, ce recensement lui permettra d’affiner la mesure de la criticité du
risque, mais également de mesurer l’efficacité de son dispositif de maitrise et donc d’affiner sa stratégie de réponse.

Mais sans attendre l’ apparition d’un incident, le propriétaire du risque doit suivre de manière dynamique le dispositif de
maitrise de chaque risque. En d’autres termes, il doit évaluer l’efficacité de l’ensemble des éléments mis en œuvre pour
limiter l’impact ou la probabilité de survenance d’un risque, tels que les procédures, l’organisation ou les dispositifs de
contrôle. Cette évaluation se fera au fil de l’eau, généralement sur la base des indicateurs de management mis en place
dans l’organisation mais aussi, plus ponctuellement, lors des revues du processus lié au risque ou lors d’audits internes.

Les indicateurs de reporting et outils de suivi des risques sont donc indispensables au dynamisme de la gestion des
risques, mais sont tout aussi complexes. Ils nécessitent une réflexion poussée dès le lancement de la démarche et non
pas après-coup, comme on le constate hélas trop souvent.