Field notes

Comment mener une évaluation des risques qui n'ennuie pas le conseil d'administration

Si vous voulez que votre conseil d'administration s'implique vraiment, et ne subisse pas simplement vos slides, vous devez transformer l'évaluation des risques en une véritable conversation de décision. Voici comment.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
How to Run a Risk Assessment that Doesn't Bore the Board

(Parce que les slides rouge/jaune/vert sont mortes en 2015.)

Soyons honnêtes.La plupart des revues de risques au niveau du conseil ressemblent à ceci :

« Voici notre matrice des risques. En haut à droite : cyber, chaîne d'approvisionnement et tiers. En bas à gauche : tout le reste. »

S'ensuivent les hochements de tête polis. Le DAF consulte ses e-mails. Le PDG dit : « Ça semble correct. »Réunion terminée. Rien ne change.

Ce n'est pas de la gestion des risques. C'est du théâtre du risque.

Si vous voulez que votre conseil s'implique réellement, et pas seulement subisse vos slides, vous devez transformer l'évaluation des risques d'un rituel de reporting en une conversation de décision.Voici comment.

1. Commencez par ce qui intéresse vraiment le conseil

Les dirigeants ne s'intéressent pas à la méthodologie de gestion des risques.Ils s'intéressent à l'exposition de l'entreprise, à l'argent, et à la dynamique.

Arrêtez donc d'ouvrir avec des échelles de probabilité et d'impact.Commencez par une seule slide qui dit :

« Voici les 5 événements qui pourraient nous empêcher d'atteindre nos objectifs cette année. »

C'est tout.Pas de jargon, pas de palette de couleurs. Juste du contexte et des conséquences.

Si vous ne reliez pas votre évaluation aux objectifs stratégiques, vous ne faites que produire de beaux diagrammes.

2. Abandonnez la heatmap, racontez une histoire

Vous connaissez cette matrice avec 20 points colorés ?Le conseil la déteste. Ses membres ne savent pas ce que chaque point signifie, et ils ne poseront pas de questions.

Racontez des histoires à la place.

« Le trimestre dernier, nous avons failli manquer un SLA client à deux jours près à cause d'une défaillance d'un seul fournisseur. »« C'est pourquoi la résilience fournisseurs est désormais le risque n° 2, et voici ce que nous faisons pour y remédier. »

Les histoires rendent le risque tangible.Les heatmaps le rendent abstrait.

Utilisez des scénarios de risque, pas des tableaux, pour faire passer votre message.Le cerveau humain comprend les récits, pas les axes.

3. Quantifiez, même approximativement

Dès que vous ajoutez un chiffre, l'attention monte d'un cran.

« Si ce risque se matérialise, nous perdons environ 1,2 M€ et 10 jours de production. »

Là, vous parlez le langage du conseil.

Vous n'avez pas besoin de simulations Monte Carlo ; de simples fourchettes plausibles basées sur l'impact, le coût ou le temps suffisent.

Le conseil ne sait pas prioriser entre rouge et orange,mais il sait prioriser entre « perte de 1,2 M€ » et « retard de 200 K€ ».

Traduisez le risque en argent, en minutes ou en titres de presse.

4. Transformez l'« évaluation » en « options »

Le conseil ne veut pas une liste de problèmes ; il veut des décisions.

Pour chaque risque majeur, présentez :

  1. Ce qu'il est.
  2. Pourquoi il est important.
  3. Trois options de traitement, avec leurs arbitrages.

Exemple :

« Pour réduire le risque de dépendance fournisseur, nous pouvons :Diversifier les fournisseurs (coût : 300 K€/an)Négocier des SLA plus solides (coût : 0 €, délais allongés)Accepter le risque (exposition : 1,2 M€). »

Vous ne vous contentez plus de reporter le risque ; vous permettez la gouvernance.C'est précisément pour cela que le conseil est là.

5. Montrez une progression, pas la perfection

Le conseil ne se soucie pas du niveau de détail de votre registre.Il se soucie des progrès.

Si votre classement des risques est identique chaque trimestre, vous avez perdu toute crédibilité.

Montrez des tendances :

  • « 3 risques clôturés ce trimestre. »
  • « 2 nouveaux risques sont apparus. »
  • « Exposition résiduelle en baisse de 15 %. »

La dynamique l'emporte sur la perfection.Même un progrès marginal témoigne d'une maîtrise de la situation.

6. Utilisez les visuels avec intention

Fini les feux tricolores.À la place :

  • Une slide par risque majeur.
  • Titre : le scénario en langage courant (« Panne majeure due à un seul fournisseur cloud »).
  • Sous-titre : exposition quantifiée.
  • Un graphique : tendance dans le temps.
  • Un encadré : décisions prises ou en attente.

Si votre deck de risques ressemble à un PowerPoint des années 90, vous avez perdu avant même de commencer.

Donnez-lui l'apparence d'un tableau de bord opérationnel, pas d'un rapport de conformité.

7. Incluez une victoire

N'entrez jamais dans une séance du conseil en n'apportant que de mauvaises nouvelles.Mettez en avant un succès : un risque atténué, une réponse de contrôle plus rapide, un test qui a fonctionné.

Les membres du conseil sont humains eux aussi ; ils se souviennent mieux des victoires que des avertissements.Montrez que la gestion des risques crée de la valeur, pas seulement de la paperasse.

8. Gardez la méthodologie, évitez le cours magistral

Personne au conseil ne veut une explication de 10 minutes sur ISO 31000 ou FAIR.Gardez ces éléments dans vos slides de secours, certes, mais ne commencez pas par là.

Commencez par l'impact, terminez par les décisions.Gardez les référentiels invisibles, comme la plomberie.Ils doivent soutenir le récit, pas monopoliser la scène.

9. Corrigez le suivi

C'est là que 90 % des séances de risque échouent : personne ne trace ce que le conseil a décidé.

Trois mois plus tard, vous revenez avec la même slide.

Remédiez-y :

  • Enregistrez chaque décision (accepter / atténuer / transférer).
  • Désignez un responsable.
  • Suivez l'avancement dans votre prochain rapport.

Le conseil n'a pas besoin de plus de réunions ; il a besoin de clôtures.

L'essentiel

Une évaluation des risques qui ennuie le conseil est une occasion manquée.Vous avez leur attention pendant 20 minutes ; faites-en bon usage.

Votre mission n'est pas de montrer une matrice.Votre mission est d'amener l'organisation à se voir clairement, et à agir en conséquence.

Quand vous cessez de présenter le risque comme de la paperasse et que vous commencez à le présenter comme une stratégie, les participants cessent de subir votre séance et commencent à en dépendre.

Faites du risque un langage stratégique

C'est ce que nous enseignons dans les formations ISO 31000 Lead Risk Manager :comment rendre le risque visible, mesurable et porteur de sens au niveau de la direction.

👉 Demandez votre devis et rejoignez la prochaine cohorte

Parce que le risque n'est pas ennuyeux, à moins que vous ne le rendiez tel.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.