Le choix et la mise en œuvre d’un système d’information de gestion des risques (SIGR) sont un processus long et complexe qui suppose une bonne maîtrise de ses besoins tout en étant en réelle adéquation avec les exigences métier de l’entreprise.

Comment votre métier a-t-il évolué au cours de ces dernières années ? En quoi ces évolutions ont-elles modifié votre approche en matière de SIGR ?

Hervé Vandenbergue : « Le contrôle interne existe depuis longtemps. Ce qui est nouveau, c’est la perspective de l’entrée en vigueur de Solvabilité 2, l’équivalent de Bâle II dans le domaine de l’assurance, pour lequel nous devons mettre en place un dispositif similaire à celui concernant les établissements bancaires. Qu’il s’agisse de solvabilité, de maîtrise des risques, de conformité, de protection des assurés, le mouvement en faveur d’une gouvernance plus transparente s’accélère. Ce qui a nécessairement un impact sur l’élaboration et la commercialisation des offres, la protection de la clientèle et des données qui leur sont relatives, la maîtrise des risques opérationnels, la veille réglementaire, etc. Sans compter les multiples instances de contrôle ou de régulation (ACPR, AMF, CNIL, Défenseur des droits, Autorité de la concurrence, DGCCRF), les textes réglementaires, notamment les nouvelles directives européennes en préparation, dont nous devons nécessairement tenir compte. Tout cela nous amène à repenser les process de l’entreprise en intégrant de nouveaux outils dans notre référentiel de risques.

Attention toutefois à ce que ces outils ne structurent pas la méthode en la contraignant : il faut d’abord être clair sur ce que l’on veut faire et veiller à ce que ce type d’outil ne se substitue pas à la démarche des collaborateurs concernés, à savoir les équipes dédiées et les métiers.

Partant de là, on attend d’un tel système qu’il permette de définir, piloter et suivre des activités de contrôle fondées sur une démarche méthodologique, qu’il permette de maintenir une base de données avec des référentiels propres à l’entreprise, qu’il soit capable d’assurer la remontée d’incidents, de résultats de contrôle, d’actions correctives, etc. On en attend aussi qu’il soit à même de fournir un reporting approprié aux différentes parties prenantes et d’intégrer des entités juridiques ou organisationnelles distinctes. Ce qui suppose de commencer par des expérimentations et d’utiliser ces progiciels pour ce qu’ils sont ».

Quels seraient les fonctions indispensables d’un SIGR répondant à vos problématiques métier ?

« Un outil qui intègre les différents référentiels métiers (risques, conformité, organigrammes), qui puisse évoluer aisément et soit ergonomique en terme de cartographies des risques (avec restitution sous forme de diagrammes de chaleur, par exemple). Autrement dit un système compatible avec nos divers outils de reporting, traçable, avec suffisamment de capacité de stockage, qui puisse aussi gérer des bases d’incidents avec possibilité de saisir et restituer les résultats des différents contrôles ».

Quels sont les écueils à éviter lors d’un projet d’implémentation d’un SIGR ?

« Avant de penser système d’information, il faut d’abord raisonner en fonction des besoins de l’entreprise dans un esprit de proportionnalité. C’est-à-dire en privilégiant un outil qui réponde à sa problématique, sa spécificité et ses préoccupations essentielles. L’outil ne doit pas penser à la place de l’entreprise, de ses besoins ou de ses collaborateurs. Autre facteur déterminant, la nécessité de se projeter dans l’évolution des besoins et faire en sorte que l’outil retenu ne soit pas structurant au point d’empêcher toute évolution significative. De trop nombreux SIGR veulent faire trop de choses. Si vous prenez le contrôle interne, vous avez de l’ordre de 600 situations de risque, ce qui est beaucoup. Si vous manipulez trop de données, vous ne remontez finalement plus grand-chose ! Même les grands établissements font aujourd’hui marche arrière. Ce qui est déterminant en définitive, c’est que l’outil soit avant tout agile ».

Quels sont, selon vous, les facteurs de succès du déploiement d’un SIGR ?

« D’abord d’avoir entièrement pensé et conçu sa problématique de contrôle des risques en amont et en dehors du SIGR. Ensuite de travailler avec un éditeur en qui on ait confiance et dont on comprenne bien la conception et la structuration de l’outil de telle sorte que cette proximité se traduise par une réelle adéquation aux besoins et à la problématique de l’entreprise. L’outil doit être au service des différentes directions métiers et contribuer à la transversalité au sein des entités concernées. Pour le reste, quelques règles de bon sens comme la vigilance vis-à-vis des diverses clauses contractuelles, les perspectives d’évolution de l’outil, son ergonomie, sa facilité d’implémentation, etc. ».

Quels sont les avantages du recours à un cabinet extérieur pour accompagner ce type de démarche ?

« C’est très important dans la mesure où cela permet d’avoir un regard extérieur, en amont comme en aval. Cela nous apporte une expertise et un recul que nous n’avons pas nécessairement, notamment vis-à-vis des éditeurs et des pratiques en vigueur au sein d’autres entreprises. Ces spécialistes ont une véritable expertise, une connaissance du marché et de ses différents outils. Bénéficier de conseils personnalisés, c’est toujours extrêmement précieux ».

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s