Un KRI est un chiffre qui prévient d’un risque qui augmente. Pour le lire, on regarde la tendance, le seuil d’alerte et l’action à lancer. Si la courbe monte et dépasse le seuil, on agit. Si elle baisse, on garde le cap. Voilà l’idée simple.
Qu’est-ce qu’un KRI ?
Un KRI, pour key risk indicator, est un indicateur de risque. Il signale qu’un événement gênant peut arriver et donne du temps pour réagir. Contrairement à un chiffre de performance, il ne dit pas “on a atteint l’objectif”, il dit plutôt “attention, ça chauffe ici”.
Un bon KRI est clair, mesurable et lié à un risque précis. Par exemple, le taux de factures en retard peut annoncer un risque de trésorerie tendue. Le nombre de failles détectées peut annoncer un risque de cyberattaque. Le but est d’anticiper, pas de compter après coup.
Quelle différence avec un KPI ?
KRI et KPI se ressemblent (ils sont tous deux des chiffres qui aident à piloter), mais ils ne regardent pas la même chose. Voici un raccourci utile :
| Point | KRI (risque) | KPI (performance) |
|---|---|---|
| Finalité | Alerter avant un problème | Mesurer un résultat obtenu |
| Horizon | Préventif, orienté futur | Constat, orienté passé/présent |
| Exemple | % serveurs non à jour | % commandes livrées à l’heure |
| Décision | Lancer une action pour réduire un danger | Ajuster pour mieux performer |
Un KPI répond à “sommes-nous efficaces ?”. Un KRI répond à “où cela peut-il déraper ?”. Les deux sont utiles et se complètent très bien.
À quoi sert un KRI ?
Un KRI sert à voir venir. Il donne un signal précoce. Grâce à lui, on peut :
- Prioriser les risques les plus urgents, au lieu de se perdre dans une liste trop longue.
- Allouer les ressources au bon endroit, au bon moment.
- Expliquer simplement à la direction où se trouvent les dangers réels.
- Suivre si les actions prises réduisent le risque au fil des semaines.
Un KRI bien choisi calme le stress, car on sait quoi surveiller et quand bouger. Il rend les décisions plus nettes.
Comment choisir de bons KRI ?
Pour choisir, on part du risque et non du chiffre à la mode. On se pose des questions simples : qu’est-ce qui peut casser ? comment le repérer tôt ? que ferons-nous si le signal passe au rouge ? Pour rester concret, voici des repères utiles :
- Lien direct avec un risque : le KRI doit pointer vers une cause ou un déclencheur. Par exemple, “nombre de comptes sans double authentification” est relié au risque d’intrusion.
- Seuil lisible : un chiffre sans seuil d’alerte ne sert pas. Fixez un seuil orange (pré-alerte) et un seuil rouge (action immédiate).
- Mesure fiable et régulière : la donnée doit être facile à collecter et toujours de la même façon, pour comparer semaine après semaine.
- Périmètre clair : on sait qui est responsable du suivi et où le KRI s’applique (un service, un produit, une région).
- Action associée : quand le seuil est franchi, on sait exactement quoi faire et qui s’en charge.
Ces critères aident à éviter les KRI “cosmétiques” qui font joli mais n’aident pas à décider.
Comment lire un KRI et décider ?
Lire un KRI, c’est répondre à trois points : niveau actuel, tendance, seuil.
Niveau actuel. Regardez la valeur du jour. Est-elle proche du seuil orange ou rouge ? Plus on s’en approche, plus on prépare une action.
Tendance. Un point isolé peut tromper. Il faut observer l’évolution sur plusieurs périodes. Une faible hausse mais régulière est souvent plus inquiétante qu’un pic unique.
Seuil. Le seuil transforme l’observation en décision. En orange, on renforce la surveillance et on prépare une mesure. En rouge, on exécute l’action prévue (ex. geler une mise en production, activer un plan de rappel, contacter un client clé).
Un bon tableau de bord montre ces trois éléments en un coup d’œil. Pour rester simple, on utilise un graphique de tendance, un code couleur, et une note courte expliquant l’action en cours.
Exemples de KRI simples par service.
Finances. Taux de factures impayées à plus de 30 jours ; part de clients concentrant une grosse part du chiffre d’affaires ; variance entre trésorerie prévue et réelle.
Opérations. Taux de pannes critiques ; temps moyen pour réparer ; commandes en retard ; dépendance à un seul fournisseur pour une pièce clé.
Sécurité informatique. Actifs non mis à jour ; incidents détectés par semaine ; comptes sans double authentification ; temps moyen pour corriger une faille.
Ressources humaines. Taux de départs dans une équipe fragile ; jours d’absence non planifiés ; postes critiques ouverts depuis trop longtemps.
Relation client. Volume d’escalades ; délai moyen de réponse ; taux de contacts répétés pour le même problème.
Ces exemples restent généraux. L’essentiel est d’adapter chaque KRI à vos risques réels et à vos données disponibles.
Quelles bonnes pratiques de suivi adopter ?
Le suivi doit être routinier. On fixe un rythme (hebdo ou mensuel), on met à jour, on commente en une phrase. On évite les usines à gaz.
Commencez petit : 5 à 7 KRI au départ. Trop d’indicateurs noient le signal. Mieux vaut peu mais utiles, suivis sans faute.
Installez des seuils intelligents. Par exemple, un seuil adaptable selon la saisonnalité ou la taille du portefeuille surveillé. Ainsi, le KRI reste juste dans le temps.
Pensez qualité de la donnée. Un KRI basé sur une donnée mauvaise donnera des alertes fausses. Mettez en place un contrôle simple (ex. qui publie, quand, quelle source).
Documentez l’action liée à chaque KRI. Une ligne suffit : “si rouge → contacter X, bloquer Y, lancer Z”. Cela accélère la réponse quand l’alerte tombe.
Pièges courants à éviter.
- KRI sans propriétaire. Sans responsable nommé, personne ne le met à jour ni n’agit. Donnez un nom et un plan.
- KRI qui double un KPI. Si l’indicateur mesure déjà un résultat, ce n’est pas un signal de risque. Gardez la vocation préventive.
- Seuils flous. “À surveiller” ne veut rien dire. Fixez des valeurs claires et écrites.
- Trop de KRI. Dépasser 10 indicateurs rend la lecture pénible. Restez focalisé.
- Donnée introuvable. Si la collecte est lourde, l’indicateur mourra vite. Choisissez des KRI faciles à mesurer.
Éviter ces pièges garde le dispositif léger, fiable et vivant.
Comment relier KRI, plan d’action et gouvernance ?
Un KRI prend sa pleine valeur quand il est relié à une action et à un rituel. Par exemple, chaque lundi, l’équipe revoit les KRI clés : un tour rapide, les écarts, la décision. Les alertes rouges déclenchent un mini plan déjà écrit. Les alertes oranges créent une tâche avec une date et un responsable.
Côté gouvernance, un tableau resserré de 3 à 5 KRI majeurs pour la direction suffit souvent. Les autres KRI restent au niveau des équipes. On gagne ainsi en lisibilité et en vitesse d’exécution.
Comment faire évoluer ses KRI ?
Les risques bougent. Un KRI pertinent aujourd’hui peut devenir moins utile demain. Tous les trimestres, on réévalue : le risque existe-t-il toujours ? le seuil est-il au bon niveau ? la donnée reste-t-elle fiable ? On peut retirer un KRI et en ajouter un nouveau sans tout casser. L’important est de garder un système vivant.
Pensez aussi à lier certains KRI à des KPI. Exemple : si un KRI montre trop de comptes sans double authentification, un KPI associé peut suivre le taux d’équipement de la double authentification sur trois mois. Le premier alerte, le second montre le progrès.
Un KRI sert à voir le danger avant qu’il n’arrive, grâce à un chiffre simple, un seuil clair et une action prête. Choisissez des indicateurs liés à vos vrais risques, lisez-les dans le temps, et attachez-leur une réponse immédiate. Avec ça, votre pilotage gagne en calme, en vitesse et en précision.
