Les programmes de gestion des risques d’entreprise ont l’objectif de gouvernance ambitieux d’identifier, d’évaluer et de gérer tous les risques auxquels sont confrontées une organisation.
Pour ce faire efficacement, les programmes de gestion des risques d’entreprise (ERM) doivent avoir un processus cohérent pour identifier les types de risques confrontés à leurs organisations, pour évaluer le niveau de risque que chaque type pose et pour comprendre comment chaque risque contribue au risque maximum que l’organisation est disposée à accepter.
Alors que les personnes impliquées dans les programmes de l’ERM entreprennent ces évaluations de l’exposition aux risques, ils utilisent deux termes importants et connexes: l’appétit des risques et la tolérance au risque.
Bien que les concepts soient liés, ils représentent deux façons différentes pour que les gestionnaires de risque décrivent attitude de risque – Décrit par ISO 31000: 2018 comme l’approche générale de l’organisation pour évaluer et poursuivre, conserver, retenir, prendre ou détourner le risque.
Mélanger l’appétit des risques avec une tolérance au risque peut entraîner une prise de risque trop peu ou trop, des ressources erronées et potentiellement confrontés à des problèmes réglementaires ou à des pertes financières. Examinons l’appétit des risques et la tolérance au risque et décomposons la façon dont ils se rapportent et diffèrent les uns des autres.
Qu’est-ce que l’appétit du risque?
L’appétit des risques est mieux décrit comme les types et le montant des risques qu’une entreprise est disposée à accepter pour atteindre ses objectifs. Les organisations reconnaissent qu’elles ne peuvent pas supprimer tous les risques de leurs opérations commerciales. Atteindre leurs objectifs commerciaux nécessite d’accepter certains risques tout en atténuant, en évitant ou en transférant d’autres.
Les programmes de l’ERM déterminent quels risques relèvent de l’appétit des risques de l’organisation et qui nécessitent des contrôles supplémentaires avant d’être acceptables.
Les facteurs suivants peuvent influencer l’appétit des risques d’une organisation:
- Stratégie commerciale et objectifs tels que les objectifs de croissance, les plans d’expansion du marché et l’innovation.
- Les facteurs financiers comprennent le capital disponible, les niveaux de liquidité, la stabilité des revenus et les marges bénéficiaires.
- Style de leadership, maturité organisationnelle, taille et âge de l’entreprise, expérience de risque historique et autres éléments de la culture.
- Des conditions du marché telles que le climat économique, les tendances de l’industrie, l’environnement réglementaire, les changements technologiques et le paysage concurrentiel.
Qu’est-ce que la tolérance au risque?
La tolérance au risque est la quantité d’écart acceptable par rapport à l’appétit des risques d’une organisation. Vous pouvez penser à la tolérance au risque d’une organisation pour une initiative spécifique comme sa volonté d’accepter le risque qui reste après Tous les contrôles pertinents sont mis en place.
Les facteurs qui déterminent la tolérance au risque d’une organisation comprennent les éléments suivants:
- Des questions de conformité telles que les exigences de déclaration, les contraintes légales et les réserves de capital obligatoires.
- Limites du système telles que les capacités techniques et les limites d’infrastructure de capacité de ressources.
- Des facteurs départementaux tels que les objectifs spécifiques à unité d’entreprise, les objectifs de performance et les contraintes opérationnelles.
Comprendre la relation entre l’appétit des risques et la tolérance au risque
L’appétit des risques est la philosophie large et stratégique qui guide les efforts de gestion des risques d’une organisation, tandis que la tolérance au risque est un concept beaucoup plus tactique qui identifie le risque associé à une initiative spécifique et le compare à l’appétit des risques de l’organisation.
En d’autres termes, une organisation détermine son appétit des risques dans le cadre d’un effort stratégique pour comprendre et gérer les risques. Il détermine la tolérance au risque au cas par cas car il évalue les risques spécifiques associés à une initiative donnée.
Une façon de comprendre cette relation est de penser aux risques associés à la conduite rapide. Les gouvernements du monde entier reconnaissent que les conducteurs rapides créent un niveau de risque pour tous les autres conducteurs sur la route. Plus un automobiliste roule rapidement, plus il y a de risques. Pour contrôler ce risque, les gouvernements fixent des limites de vitesse. Plus la limite de vitesse est faible, plus le risque pour les automobilistes est faible.
Cependant, les limites de vitesse plus faibles inhibent également le flux de la circulation, empêchant les véhicules d’atteindre rapidement leurs destinations. Les gouvernements doivent équilibrer ces préoccupations et déterminer la vitesse de vitesse appropriée pour différents types de routes. Les limites de vitesse sont donc des déclarations de l’appétit du risque du gouvernement.
Sur les autoroutes aujourd’hui, cependant, la plupart des conducteurs dépassent les limites de vitesse affichées. Les policiers chargés de l’application de ces limites permettent généralement aux automobilistes de le faire, tant qu’ils ne voyagent pas à des vitesses bien au-delà de la limite affichée. Un policier patrouillant une route avec une limite de 70 mph pourrait, par exemple, décider de ne s’arrêter que des véhicules voyageant à 80 mph ou plus rapidement. Ceci est un exemple de tolérance au risque: l’officier, vraisemblablement avec l’approbation des supérieurs et des représentants du gouvernement, est disposé à tolérer des écarts allant jusqu’à 10 mph par rapport à la limite de vitesse affichée.
Exemples d’appétit des risques et de déclarations de tolérance au risque
Bien que les limites de vitesse soient un excellent exemple conceptuel pour décrire les considérations de gestion des risques, dans la pratique, la plupart des décisions de risque prises par les organisations ne sont pas si facilement quantifiées. Au lieu de cela, ils s’appuient sur des évaluations subjectives des risques causés par les chefs d’entreprise en consultation avec des experts en la matière. Ces évaluations et décisions sont documentées dans les déclarations de la tolérance au risque et de l’appétit des risques de l’organisation.
Échantillon de risque d’échantillon d’appétit
Un comité de l’ERM pourrait faire la déclaration suivante sur l’appétit des risques de l’organisation:
Notre organisation comprend qu’il existe des risques inhérents à notre entreprise et que prendre des risques est une condition préalable à la réalisation de nos objectifs stratégiques. Notre programme de gestion des risques d’entreprise évalue méthodiquement les risques en utilisant une approche des coûts / avantages et détermine les stratégies de traitement des risques appropriées. En tant qu’organisation, nous avons un faible appétit pour les risques qui impliquent la perte possible d’informations personnellement identifiables sur nos clients et nos employés et un appétit modéré pour les risques qui impliquent le potentiel de pertes financières ou de violations de cybersécurité qui n’impliquent pas les PII mais qui peuvent avoir un impact sur d’autres objectifs commerciaux.
Le Comité de l’ERM pourrait étendre cette déclaration d’appétit de risque pour inclure tous les différents types de risques auxquels l’organisation est confrontée, puis l’utiliser pour élaborer des déclarations de tolérance au risque plus spécifiques sur les initiatives commerciales individuelles considérées.
Exemples de déclaration de tolérance au risque
Par exemple, le comité pourrait constater qu’un projet spécifique se situe dans l’appétit des risques de l’organisation et publier la déclaration suivante faisant référence à sa tolérance au risque:
Le comité de l’ERM a évalué le risque de mettre en œuvre le projet X et a déterminé qu’il a une faible probabilité de créer la perte potentielle de PII. C’est donc dans notre tolérance au risque.
Mais un autre projet pourrait dépasser la tolérance au risque de l’organisation. Dans ce cas, le Comité de l’ERM pourrait suggérer que l’équipe de projet revisit les risques pertinents et mettant en œuvre de nouveaux contrôles pour atténuer, éviter ou transférer le risque d’amener le projet à un niveau de risque acceptable. L’énoncé de tolérance au risque pour ce projet pourrait se lire comme ceci:
Le Comité de l’ERM a évalué le risque de mettre en œuvre le projet Y et a déterminé qu’il créerait une situation de risque financier élevé en dehors de notre tolérance au risque. Les contrôles doivent être mis en place pour atténuer ce risque à un niveau acceptable avant de lancer ce projet.
Les exemples ci-dessus illustrent comment l’identification et la documentation de l’appétit des risques et la tolérance aux risques est une étape cruciale dans la voie d’une organisation pour développer un processus de gestion des risques matures. La déclaration d’appétit sur le risque fournit un critère pour la mesure et l’évaluation cohérentes des risques et ouvrent la voie à l’utilisation des instructions de tolérance au risque associées pour mieux guider les travaux d’atténuation des risques futurs.
Mike Chapple est directeur académique du programme de maîtrise en sciences en analyse commerciale et professeur d’enseignement, analytique et opérations à l’Université de Notre Dame.
Note de l’éditeur: Mike Chapple a écrit cette explication de l’appétit des risques par rapport à la tolérance au risque en 2021. Il a été reformaté en 2023 pour améliorer la lisibilité, et en 2025, une barre latérale et un graphique ont été ajoutés par les éditeurs Informa Techtarget.
