Appétit, tolérance, capacité : la triade qui sépare les juniors des seniors
Ouverture — le jour où le COMEX a découvert qu’il avait deux appétits
Sofia, responsable de l’assurance risques d’un groupe pharmaceutique (4,3 Md€ de CA), prépare son audit ERM annuel. Elle ouvre la déclaration d’appétit pour le risque approuvée par le Board l’an dernier. Page 1 : « Le groupe a un appétit modéré pour le risque réglementaire. » Page 14 : « Le groupe accepte des risques élevés en R&D pour soutenir l’innovation. » Page 27, en annexe : « Tolérance zéro sur tout risque pouvant entraîner une perte humaine. »
Trois énoncés, trois logiques. Aucun n’est faux. Mais aucun n’est lié au reste de l’entreprise. C’est exactement le problème que la CRMA est conçue pour détecter — et la triade appétit / tolérance / capacité est l’outil de diagnostic.
La triade en une page
| Concept | Niveau | Qui décide | Horizon |
|---|---|---|---|
| Appétit pour le risque (Risk Appetite) | Stratégique | Board / COMEX | Long terme |
| Tolérance au risque (Risk Tolerance) | Tactique | Direction opérationnelle | Annuel / par objectif |
| Capacité de risque (Risk Capacity) | Structurel | Limites bilancielles / réglementaires | Permanent |
L’appétit dit : « voici ce qu’on accepte de prendre comme risque pour atteindre nos objectifs. » La tolérance dit : « sur cet objectif précis, voici la déviation maximale que je tolère par rapport à l’appétit. » La capacité dit : « voici le maximum absolu que la structure peut absorber sans céder. »
Pourquoi un appétit non opérationnalisé ne sert à rien
Le problème de Sofia : la déclaration d’appétit existait, mais personne n’avait défini de tolérances opérationnelles. Conséquence : chaque BU interprétait l’appétit "modéré" différemment. La filiale US opérait avec une tolérance implicite de 80 % de l’EBIT. La filiale française à 15 %. Aucune n’était fausse ; aucune n’était alignée.
Les quatre tests d’opérationnalisation
Pour qu’un appétit soit auditable, il doit passer quatre tests :
- Mesurable — exprimé en métriques quantitatives ou catégorielles claires.
- Décliné — traduit en tolérances par objectif stratégique et par BU.
- Surveillé — KRI / KPI lui sont liés, avec seuils d’alerte.
- Gouverné — un comité revoit les écarts au moins trimestriellement.
Comment Sofia a recadré le COMEX en 30 minutes
Sofia a présenté un seul tableau : la matrice appétit × BU × KRI. Chaque cellule était soit verte (KRI calibré sur la tolérance), soit orange (KRI existant mais non aligné), soit rouge (aucun KRI). Sur 36 cellules, 22 étaient orange ou rouge. Le COMEX a immédiatement vu le problème : il ne s’agissait pas de revoir l’appétit, il fallait construire la déclinaison.
Six mois plus tard, le Board a approuvé une nouvelle déclaration d’appétit accompagnée de 47 KRI quantitatifs. Sofia a inscrit cette mission dans son rapport d’assurance ERM comme une amélioration majeure de maturité, niveau 4 sur 5 (référentiel IIA Risk Maturity Model).
À retenir
- La triade : Appétit (stratégique) > Tolérance (tactique) > Capacité (absolue).
- L’opérationnalisation est la condition d’auditabilité — un appétit non décliné est inutile.
- Les 4 tests : mesurable, décliné, surveillé, gouverné.
- CRMA assurance : audit la déclinaison et la surveillance, pas la déclaration.
Aperçu d’un chapitre. Chaque cert. inclut +100 chapitres narratifs avec callouts, tableaux comparatifs et AuditBot intégré.