Auteur: Manu Steens
Un concept important dans la gestion stratégique des risques est celui de la connaissance des risques.
L’intelligence des risques est un « processus systématique de collecte et d’analyse d’informations sur les risques des activités de l’organisation, afin de pouvoir prendre des décisions stratégiques en conséquence et de faire ainsi de meilleures affaires dans un environnement concurrentiel ». Il est donc possible répondre à l’intelligence concurrentielle d’opposants potentiels.
Dans l’état actuel des choses, il est donc plus étendu qu’un processus classique d’analyse des risques assorti d’actions. Ce sont toutes les informations pertinentes.
L’organisation doit donc être capable de fournir des événements et des impulsions externes pour les changements. En outre, il doit s’agir d’un processus, car les risques sont variables, les stratégies doivent pouvoir être ajustées et que de nouveaux risques apparaissent constamment.
Parmi les indicateurs prévisionnels possibles figurent les indicateurs: KPI et KRI (indicateurs de performance clés et indicateurs de risque clés). Je discute du KRI ici. (Remarque: le KRI fournit des informations. L’analyse de ces informations doit toujours être effectuée par les propriétaires du risque.)
KRI basé sur les résultats
Les indicateurs de risque clés sont souvent des indicateurs d’effet. Ils mesurent si les objectifs fixés, les résultats des processus, ont été atteints.
KRIs sur la base des résultats, sont des indicateurs d’effet. Inversement, les indicateurs d’effet peuvent être considérés comme une sous-classe des indicateurs de risque. Cependant, il est préférable de parler d’indicateurs d’effet chez les personnes qui sont opposées à la gestion des risques comme un autre sujet auquel la direction adhère.
Mais comment atteindre les indicateurs d’effet?
Strictement pris en déterminant les résultats du processus, le projet, l’objectif. Un moyen de déterminer ces résultats n’est pas le résultat des processus ou des projets en tant que phase finale de l’activité, mais son objectif. Cela peut être fait en décrivant le processus / projet en une ou quelques phrases seulement, et en terminant cette description par une ou plusieurs complétions après le mot « en ordre … » ou « pour que … ».
Là, vous définissez des critères que vous souhaitez périodiquement garder à l’esprit pour voir s’ils sont dépassés, ou montrent une tendance, ou font un saut, etc.
Un exemple ici peut créer de la clarté.
Lors de l’exploitation d’un gestionnaire BCM (management de la continuité des activités), il existe un processus qui commence à chaque cycle. Ce cycle peut être décrit dans l’ISO 22301, mais également dans le GPG de TheBCI.org.
Un exemple en est une communication de crise « Parler aux médias avec une voix claire de l’organisation pendant la crise ». Il s’agit là d’un objectif de l’équipe de gestion de crise, car lors d’une crise, l’objectif est que le transfert d’informations soit facilement vérifiable, correct, aussi complètement que possible etc. et conformément aux exigences du moment. La conséquence indésirable que vous utilisez est que plusieurs personnes ont injustement traité les médias avec tous les flux d’informations erronés pouvant en découler. Vous pouvez donc faire une mesure comme suit:
T = « Somme des (nombre de personnes qui parlent (injustement) aux médias) des crises de ce mois. »
Vous pouvez ensuite illustrer la mesure avec des smileys comme suit:
Smiley Vert: 0 personnes
Smiley jaune: ne pas utiliser dans ce KRI
Smiley rouge: 1 personne ou plus
Smiley gris: la communication aux médias n’a pas été nécessaire du fait de l’absence de règlement de crise ce mois-ci.
KRI basé sur des analyses de risque
Cependant, il existe également une seconde catégorie d’indicateurs de risque clés, qui ne se basent pas sur les résultats ou les objectifs définis, mais qui font référence à l’analyse de risque du processus, du projet ou des objectifs.
Une explication de la méthode peut facilement être illustrée avec la méthode d’analyse de risque Bow-Tie.
Dans la méthode du Bow-Tie, on peut travailler de manière prédictive en regardant le côté gauche (côté préventif) du Bow-Tie, où l’on a complètement percé les causes profondes d’un événement souhaité ou indésirable.
Une fois que les causes pertinentes ont été inventoriées, il faut établir les critères dans lesquels elles se produisent. Par exemple, les accidents (hypothétiques) chez les forestiers culminent lorsque 15% d’entre eux ont moins d’un an d’expérience dans le secteur et que leurs superviseurs ont moins de 30 ans. Ensuite, on peut établir un KRI pour HRM (gestion des ressources humaines) afin de connaître l’âge des conseillers et la combinaison de l’expérience de leurs invités. Si, en cas de nouveau recrutement avec cette combinaison, vous dépassez ce critère, vous pouvez, par exemple, mettre en œuvre une réorganisation de parrain.
Comme on le voit facilement, ces KRI sont certainement importants du fait de leur pouvoir prédictif. L’indicateur KRI sur la base des résultats constatant plutôt que quelque chose ne va pas ou que quelque chose ne va pas.
Ces indicateurs prédictifs peuvent faire la différence entre le succès et l’échec de l’effet recherché. Ils reposent sur les résultats de l’analyse de risque complète. Ils justifient donc une analyse de risque complète selon le modèle Américain.
L’important dans le KRI est qu’il est possible d’adapter les stratégies existantes et de suivre le parcours. On peut anticiper.