70 % des organisations ont connu au moins deux événements de risque critique au cours de l'année écoulée, tandis que plus de 40 % en ont connu au moins trois et près de 20 % ont subi six incidents ou plus, selon un rapport 2023 de Forrester et Dataminr.

Avec l'augmentation des risques d'entreprise, la gestion des risques d'entreprise (ERM) est plus importante que jamais. Le développement d'indicateurs clés de risque, ou ICR, peut renforcer l'ERM.

Les ICR suivent la potentielle survenue de certains événements de risque. Lorsqu'ils sont déclenchés, ils peuvent alerter la direction et d'autres parties prenantes d'une menace potentielle qui aurait un impact significatif sur les opérations commerciales, comme le non-respect des cadres de sécurité tels que SOC 2.®

Prêt à en savoir plus ? Ci-dessous, nous abordons les bases des ICR, comment les établir et des conseils pour les maintenir au fil du temps.

Quels sont les indicateurs clés de risque ?

Les indicateurs clés de risque (ICR) sont un moyen de mesurer de manière proactive les risques auxquels une entreprise peut être confrontée. Ils servent de signes avant-coureurs de crises imminentes, ce qui peut donner à l'équipe de direction de l'organisation le temps de créer un plan d'action pour atténuer l'impact potentiel de ce risque ou pour empêcher qu'il ne se produise.

Les ICR sont également liés à l'appétit pour le risque, qui définit un seuil pour le degré d'exposition au risque qu'une entreprise acceptera de supporter pour atteindre ses objectifs. Les ICR peuvent alerter la direction de toute menace ou vulnérabilité à venir qui pourrait dépasser ce seuil.

Les ICR ne sont pas destinés à suivre chaque risque spécifique auquel votre entreprise peut être confrontée. Au lieu de cela, ils sont destinés à suivre les types de risques les plus importants qui pourraient mettre en péril les principaux objectifs et priorités de votre entreprise.

Indicateurs de performance clés vs indicateurs clés de risque

Les indicateurs clés de risque et les indicateurs de performance clés (IKP) sont tous deux des métriques qui aident les entreprises à prendre des décisions éclairées et à planifier avec précision l'avenir. Cependant, les ICR et les IKP diffèrent dans ce qu'ils mesurent. Examinons de plus près ces deux métriques ci-dessous.

Indicateurs de performance clés

Les IKP sont utilisés pour mesurer les performances de l'entreprise par rapport à un objectif ou à une cible sur une période donnée. Ils peuvent être utilisés pour se projeter dans l'avenir ou pour revenir sur le passé, selon le type.

• Indicateurs de performance à avance évaluent les résultats de certaines actions et processus pour indiquer les progrès d'une entreprise vers l'atteinte de ses objectifs commerciaux. Les exemples incluent la satisfaction des clients et le pourcentage de croissance sur de nouveaux marchés.
• Les KPIs retardés évaluent les résultats des actions et processus passés, comme les lancements de produits et les événements, pour déterminer si l'entreprise a atteint ses objectifs. Parmi les exemples, citons le chiffre d'affaires annuel et la croissance des ventes annuelles.

Indicateurs de risque clés

Les KRIs sont utilisés pour indiquer les risques potentiels pouvant affecter la capacité de l'entreprise à atteindre ses objectifs principaux. Les KRIs peuvent aider une entreprise à atteindre ses KPIs en réduisant les risques significatifs susceptibles de compromettre les opérations commerciales et les initiatives de croissance.

Par exemple, si une entreprise établit un KPI pour mesurer les performances du système informatique, alors un KRI complémentaire pourrait mesurer le nombre de pannes de sauvegarde du système ou d'incidents critiques. Si l'un de ces KRIs dépasse son seuil, les parties prenantes pourraient être alertées et avoir le temps d'atténuer le risque avant que les performances du système informatique ne soient affectées.

Défis de développement des indicateurs de risque clés

Bien que les KRIs offrent une large gamme de bénéfices, incluant la capacité de traiter de manière proactive les risques d'une organisation, les entreprises doivent également faire face à une variété de défis lorsqu'il s'agit de définir et de suivre les KRIs.

Dans un récent sondage mené lors d'un webinaire par les PDG de Nymro Clinical Consulting Services et Cyntegrity, 22 % des dirigeants d'entreprise ont déclaré que trouver la bonne méthode pour calculer les KRIs est leur principal défi.

Parmi les autres défis courants auxquels les entreprises sont confrontées lorsqu'elles utilisent des KRIs, citons :

• Un échec à incorporer les KPIs avec les KRIs
• Un suivi inefficace des KRIs en raison d'un manque de ressources ou d'outils tels que l'automatisation
• Des difficultés à accéder à des données qualitatives objectives pour identifier les tendances de risque
• Ne pas associer les actions avec les seuils de risque

Comment développer les KRIs

Avant que votre entreprise ne puisse commencer à bénéficier des KRIs, vous devrez faire un peu de travail préparatoire. Nous expliquons ci-dessous les étapes de la conception des KRIs.

1. Comprenez vos objectifs clés

Un KRI est une métrique permettant de suivre la survenance potentielle de certains événements de risque qui auront un effet néfaste sur les objectifs de votre entreprise.

Ainsi, avant de pouvoir commencer à développer des KRIs efficaces, il est essentiel de comprendre les objectifs les plus importants de votre entreprise. Par exemple, un des objectifs principaux pourrait être d'augmenter les bénéfices en augmentant les revenus et en réduisant les coûts. Il existe plusieurs risques que vous pouvez mapper à cet objectif principal, comme les ralentissements économiques ou les inefficacités opérationnelles.

2. Identifiez les risques prioritaires

Les risques qui représentent la plus grande menace pour vos objectifs commerciaux — avec une forte probabilité de survenir et une issue potentiellement dommageable — sont ceux que vous devez inclure lors de l'établissement des KRIs.

Voici quelques moyens d'identifier les risques pertinents :

• Menez une évaluation des risques pour identifier les risques qui auront les plus grands impacts sur vos objectifs et buts globaux.
• Examinez votre registre des risques pour vous alerter de certains risques susceptibles de changements rapides dans le niveau de risque, indiquant qu'ils pourraient bénéficier de l'alerte précoce d'un KRI.
• Gardez vos objectifs commerciaux essentiels au premier plan lors de la conception de vos KRI, ce qui vous aidera à hiérarchiser les risques les plus importants.
• Considérez les risques qui dépassent ou sont en deçà de votre seuil d'appétit pour le risque, car ils nécessiteront probablement une supervision supplémentaire.
• Effectuez un audit interne pour évaluer vos contrôles internes par rapport à un cadre alors que vous vous préparez à l'audit.

3. Sélectionner des KRIs

Il existe deux principales méthodes pour choisir des KRIs : les approches descendantes et ascendantes.

• Approche descendante : La direction choisit des KRIs pour l'ensemble de l'organisation. Cette approche peut être utile pour s'aligner sur les KPI stratégiques et peut aider l'organisation à comprendre l'impact des risques et comment cela peut affecter les objectifs commerciaux.
• Approche ascendante : Les unités commerciales de toute l'organisation sélectionnent et surveillent des KRIs qui correspondent à leurs processus opérationnels. L'approche ascendante permet de suivre les risques à un niveau plus granulaire et favorise l'adhésion des départements.

Que vous optiez pour une approche descendante ou ascendante, après avoir identifié les risques prioritaires, vous pouvez commencer à concevoir des KRIs. Pour les KRIs initiaux, il peut être utile de commencer petit avec deux ou trois indicateurs pour vos principaux risques.

Lors de la mise en place des KRIs, gardez les choses simples en vous concentrant sur vos risques prioritaires. Intégrez des experts en la matière pertinents de votre organisation pour aider à identifier quelques indicateurs clés qui vous aideront à suivre correctement les risques.

N'oubliez pas que les principales caractéristiques d'un bon KRI sont :

• Mesurable : Les KRIs sont quantifiables en pourcentages, chiffres, etc.
• Prédictive : Les KRIs peuvent être utilisés comme un système d'alerte précoce.
• Informatif : Les KRIs sont utilisés pour façonner la prise de décision.
• Comparable : Les KRIs peuvent être comparés à des normes internes et à des standards de l'industrie.

4. Définir des seuils pour les KRIs

Une fois que vous avez identifié des KRIs, définissez des valeurs de tolérance supérieure et inférieure pour suivre chaque risque. Chaque fois qu'un risque dépasse ces seuils d'acceptation, vous devriez alerter les parties prenantes clés et assigner des tâches de suivi pour atténuer ce risque.

Ces valeurs de tolérance peuvent être modifiées au fur et à mesure que les données sont collectées, donc ne passez pas trop de temps à les perfectionner au début. Pour commencer, vous pouvez utiliser les normes de l'industrie ou des critères internes pour les définir et vous assurer qu'ils sont approuvés par votre conseil d'administration ou d'autres dirigeants clés.

Lorsque vous avez confiance dans les données collectées à partir de vos indicateurs initiaux, vous pouvez étendre le programme KRI à différents départements commerciaux.

5. Maintenir les KRIs dans le temps

Une fois les KRIs en place, ils doivent être surveillés et suivis régulièrement, que ce soit en temps réel ou lors d'un contrôle trimestriel.

L'automatisation peut aider à simplifier ce processus, mais vous pouvez également envisager de désigner des personnes clés pour suivre manuellement certains indicateurs pertinents pour votre organisation.

De plus, vous pouvez utiliser les premières périodes de collecte de données comme moyen de vérifier si vos paramètres de seuil de risque sont corrects. Cela aidera à garantir que les futures alertes sont configurées correctement et à prévenir les fausses alertes.

Il est important de documenter et de rapporter tous les événements de risque liés à vos KRIs. Cela devrait inclure un processus formel pour alerter les dirigeants clés lorsque les niveaux de tolérance des indicateurs sont élevés.

Exemples d'indicateurs clés de risque

Bien que vous puissiez mapper les KRI à n'importe quel aspect de votre entreprise, les types de KRI courants incluent les indicateurs opérationnels, financiers, technologiques et liés aux personnes.

KRIs opérationnels

Les KRIs opérationnels sont étroitement liés au risque opérationnel. Exemples :

• Inefficiences des processus
• Défaillances internes
• Changements de leadership

KRIs financiers

Les KRIs financiers sont couramment utilisés par les banques et les cabinets d'experts-comptables. Exemples :

• Récession économique
• Changements réglementaires
• Acquisitions
• Changements budgétaires

KRIs technologiques

Les KRIs technologiques sont utilisés par les entreprises de divers secteurs. Exemples :

• Défaillances de système
• Incidents de violation de données
• Changements réglementaires

KRIs liés aux personnes

Ces KRIs sont souvent utilisés par les départements des ressources humaines ou par les entreprises spécialisées dans le recrutement. Exemples :

• Turnover élevé
• Faible satisfaction des employés
• Faible taux de conversion des recrutements

KRIs de cybersécurité

Les indicateurs clés de risque en cybersécurité peuvent être utilisés par toute entreprise pour mesurer, surveiller et gérer leur risque de cybersécurité. Le risque de cybersécurité se rapporte à la perte de confidentialité, d'intégrité ou de disponibilité des informations, des données ou des systèmes d'information (ou de contrôle) à la suite d'attaques numériques. Exemples :

• Nombre d'incidents cybernétiques
• Nombre de dossiers de données exposés
• Temps de réponse aux incidents cybernétiques

KRIs de sécurité de l'information

Les KRIs de sécurité de l'information peuvent être utilisés par toute entreprise pour mesurer, surveiller et gérer leur risque InfoSec. Le risque InfoSec est le risque pour les opérations de l'organisation, les actifs de l'organisation et les individus en raison de la possibilité d'accès, d'utilisation, de divulgation, de perturbation, de modification ou de destruction non autorisés d'informations et/ou de systèmes d'information. Exemples :

• Demandes de connexion échouées
• Pourcentage de systèmes en usage qui ne sont plus pris en charge
• Augmentation des attaques sur le pare-feu

KRIs de LBC

Les indicateurs clés de risque de lutte contre le blanchiment d'argent sont couramment utilisés par les institutions financières et autres institutions réglementées pour les aider à se conformer à la législation LBC et de financement anti-terroriste. Exemples :

• Taille de l'entreprise
• Nombre de transactions
• Emplacement
• Types de produits et services vendus aux clients
• Type de client

Modèle d'indicateur clé de risque

Les KRIs sont un outil important de gestion des risques opérationnels pour l'identification des risques et l'atténuation des risques. Maintenant que vous comprenez comment développer des indicateurs clés de risque, il est temps de définir votre propre ensemble de KRIs. Nous avons créé ce modèle de KRI simple pour vous aider à réfléchir aux risques de votre entreprise.

Aider votre entreprise à mieux se préparer pour l'avenir avec les KRIs

Établir des KRIs est un aspect important de toute stratégie de gestion des risques d'entreprise.

Les indicateurs clés de risque sont un outil inestimable pour les entreprises visionnaires afin de bien comprendre leur profil de risque, gérer les menaces à venir et agir rapidement pour atténuer les perturbations potentielles.

Ils peuvent également être facilement mappés aux normes de sécurité et aux exigences réglementaires pour aider votre entreprise à rester conforme aux cadres tels que SOC 2 et HIPAA.

La mise en œuvre des KRIs n'est qu'une des approches pour intégrer la prévention des risques dans votre entreprise. Nous avons créé un guide visuel pour inspirer votre entreprise à adopter une approche de cybersécurité plus axée sur les risques.