Didier AlleaumePar Bertille Lehner, consultante, et Didier Alleaume, co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting

Pour concevoir son « cockpit de pilotage » de gestion des risques, l’entreprise doit penser son système de manière multidimensionnelle et cohérente dans le temps.

Il y a quelques années, le directeur général d’une grande banque confiait: « j’en ai assez d’apprendre ce qui se passe chez moi par la presse ou à travers les réclamations de mes clients. Que peut-on faire pour changer cela ? ». Ce fut le début d’un premier projet de choix et d’implémentation d’un SIGR, un acronyme familier des Risk Managers mais pas nécessairement des cadres dirigeants.

Selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae), un Système d’Information de Gestion des Risques (SIGR) « vise à capter et trier une information parfois abondante, puis à l’orienter et à la restituer au Risk Manager sous une forme adaptée ». Ce qui en fait « non seulement un outil d’analyse et de gestion, mais également de communication et de partage des analyses ».

Même récente et communément admise par la communauté des Risk Managers, force est de constater que cette définition demeure encore assez éloignée des réalités opérationnelles. L’existence d’un tel outil permettant de concilier les besoins des spécialistes des risques et les attentes du management est pourtant indispensable pour piloter efficacement les risques et partager les objectifs de maîtrise et de prévention.

Penser l’après Excel

Le début des années 2000 a vu se développer dans l’industrie et les services (loi de Sécurité Financière de 2003), puis dans le secteur bancaire (mise en œuvre de Bâle II en 2004), l’utilisation d’une cartographie des risques opérationnels pour identifier les défaillances, existantes ou probables les affectant.

Le SIGR fut initialement le réceptacle de ces cartographies, en concurrence avec Excel. Les besoins de collecte de données, telles que les campagnes d’évaluation, la collecte des incidents et le lien avec les processus, ont rapidement contribué à sortir le SIGR du bureau des Risk Managers pour irriguer l’organisation dans une démarche essentiellement d’aspiration de l’information. Excel atteignit ainsi ses limites, sans toutefois disparaitre.

Les choix d’outils ont alors été effectués à partir d’un principe simple, pour ne pas dire simpliste : « un besoin, un outil ». Ainsi, se développèrent des systèmes d’information risques rassemblant des applications différentes pour la gestion des processus, des risques opérationnels et du contrôle interne alors que les éditeurs proposent des plateformes techniques rassemblant ces fonctionnalités sous forme de modules dédiés. Cette situation a une double origine : le fonctionnement en silo des métiers de la filière risques et la volonté d’automatiser l’existant au lieu de se projeter dans une nouvelle dimension.

L’instauration, via la réglementation, de l’approche par les risques tend à élargir la cartographie des risques opérationnels à l’ensemble des risques de l’entreprise. Ce qui implique une convergence accrue entre identification de ces risques et dispositifs de contrôle afin d’obtenir une meilleure gouvernance à chaque niveau de décision. Le SIGR doit donc être un réceptacle de données mais aussi un distributeur d’informations, faisant le lien entre le producteur et le (ou les) utilisateur(s). Il permet également de renforcer les interactions entre les différents acteurs de la filière risque à travers la mise en commun des données produites ou collectées.

Concevoir son SIGR comme un « CDI »

Que celui-ci soit développé sur mesure en interne ou bien choisi parmi l’offre, particulièrement large, de logiciels du marché, un SIGR nous semble devoir réunir trois conditions essentielles :

– Être convergent afin de rassembler l’ensemble des données disponibles sur les risques et de réunir les fonctions concernées (Direction des risques, Contrôle Permanent, Audit, Métiers) dans le respect de leur prérogatives respectives ;

– Être dynamique tant dans la collecte et la distribution en temps réel des données (KRI, alertes, reporting) que dans la création de liens entre les différents « objets » (processus, risques, contrôles, incidents, plans d’actions, réclamations, documents justificatifs) ;

– Être intelligent pour permettre aux utilisateurs de centrer l’analyse sur les zones de risques avec des capacités de détection des « valeurs atypiques », la remontée d’alertes ciblées et la génération automatique de reporting décisionnel. Autre aspect sur lequel il convient d’être vigilant, la capacité de traitement du SIGR – qui peut s’avérer un obstacle – au regard de la volumétrie de données à traiter et/ou du nombre de personnes devant se connecter à l’application.

De même, il est important que l’information soit segmentée de telle sorte que différentes fonctions puisse coexister dans un même univers, sans négliger l’ergonomie et l’interface graphique de l’application. Ce « CDI » semble être aujourd’hui la norme pour ne pas risquer un investissement à durée inévitablement limitée.

Le bon choix, une question de démarche

Les Risk Managers souhaitent obtenir au sein d’un seul et même outil une vision à 360° des risques. Ainsi, en reliant entre-elles l’ensemble des bases de données existantes (processus, risques, contrôles, incidents, réclamations, recommandations d’audit associées à des indicateurs de risque, reporting décisionnel), il est possible de constituer un véritable « cockpit de pilotage » des risques au sein d’un SIGR.

Ce cockpit doit se configurer progressivement, telle la démarche « Entreprise Risk Management » afin de favoriser l’appropriation et la cohérence d’ensemble.

Quelques principes essentiels doivent étayer la démarche :

– Être aligné avec la stratégie et la culture de l’entreprise. Les fonctionnalités choisies doivent s’inscrire en cohérence avec les attentes du management et notamment permettre d’exprimer l’appétence (ou la tolérance) au risque et de la piloter au quotidien.

-Voir loin sans oublier le présent. Il convient d’avoir une vision claire de la cible afin que chaque « brique » du dispositif puisse s’intégrer harmonieusement dans l’ensemble final qui sera constitué progressivement pour une meilleure appropriation. Toutefois, chaque mise en production doit apporter un service immédiat, l’assemblage améliorant l’efficience d’ensemble.

– Maîtriser la complexité et ne pas céder au mirage de « l’outil qui apporte la solution à ce que l’on n’a pu résoudre ». Il vaut mieux une approche « rustique » mais évolutive qu’une approche sophistiquée qui ne sera jamais opérationnelle. Tous ceux qui ont eu à faire des « retours arrière » financièrement douloureux peuvent en témoigner.

La question du recours à un SIGR n’est plus d’actualité. Son usage est reconnu comme indispensable afin de permettre le pilotage d’une entreprise et de l’ensemble de ses sites. Toutefois, nombre de projets demeurent, au mieux, des « semi-réussites » faute d’avoir bénéficié d’une vision et d’une démarche adaptée.

Désormais, la maturité des acteurs et des outils doit contribuer à offrir des dispositifs à réelle valeur ajoutée pour les entreprises et à redonner de l’ambition à ces démarches.

Par Bertille Lehner, consultante, et Didier Alleaume, co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s