gestion des risques opérationnels : quelle coopération entre les acteurs ?
DESCRIPTION
L’IFACI vient de publier une prise de position sur le concept des trois lignes de maîtrise des risques au sein des entreprises. Ce concept, que nous portons depuis plus de 10 ans, implique d’optimiser la coopération entre les différents dispositif de la « deuxième ligne » : contrôle interne, qualité, contrôle de gestion, continuité d’activité… Au travers d’une analyse documentée, publiée dans le numéro 89 de la revue Risques, Tuillet Risk & Management a identifié 5 pistes opérationnelles pour répondre à cette problématique et transformer la contrainte en opportunité.TRANSCRIPT
Urbanisation de la gestion des risques opérationnels : quelle coopération des acteurs clés ?
La gestion des risques opérationnels recouvre un ensemble de dispositifs de natures et de formes extrêmement variées. Le spectre des systèmes mis en œuvre par les organismes d’assurances est contraint, d’une part, par des exigences réglementaires croissantes (Solva-bilité II, contrôle interne, continuité d’activité, conformité, fraudes, RSE, etc.) et, d’autre part, par la stratégie de l’organisme (qualité, en-vironnement, etc.).
Si la mise en œuvre de ces dispositifs ren-voie nécessairement à des référentiels et normes intégrant une dimension technique forte, elle implique également, comme le terme « opérationnel » le laisse pressentir, une dimension à la fois organisationnelle et managériale essentielle à l’efficacité du système.
Or, l’expérience met en évidence que les entreprises, pour répondre à ces exigences réglementaires et aux objectifs, sont confron-tées à un ensemble de problématiques et d’enjeux pouvant rapidement dégrader les conditions de fonctionnement de ces dispo-sitifs, voire remettre en cause leur efficacité.
Face à ce constat, le concept d’urbanisation, historiquement développé dans l’entreprise par les directions des systèmes d’information (DSI), constitue une voie permettant une approche globale de la gestion des risques opérationnels, contribuant ainsi à son opti-misation et à un renforcement de son effi-cience.
« La gestion des risques opérationnels recouvre un ensemble de dispositifs de natures et de formes extrêmement variées. »
Contexte
La réflexion sur l’articulation et les complémentarités entre les différents dispositifs de gestion des risques opé-rationnels, ou dispositifs de maîtrise de l’activité, selon que l’on préférera considérer l’envers ou l’endroit de la problématique, est relativement récente et connaît des évolutions fortes.
Alors qu’un travail d’intégration a depuis longtemps été engagé, surtout dans le secteur industriel, sur l’intégration des dispositifs qualité, hygiène, sécurité, en-vironnement (QHSE), d’autres systèmes étaient volontiers mis en opposition par leurs experts respectifs, notamment entre le contrôle interne et la qualité. Sur ces sujets, qui intéressent directe-ment le secteur de l’assurance, les prises de position ont considérablement évolué au cours des dernières années.
Ainsi, l’Institut français de l’audit et du contrôle internes (Ifaci) en 2008 (1), puis l’Afnor en 2009 (2) ont engagé une ré-flexion sur les synergies existant entre le contrôle interne et la qualité.
La transposition de ce concept d’urba-nisation à la gestion des risques opé-rationnels a été initiée notamment par l’Ifaci dans une « prise de position » du mois de septembre 2008 (3), et com-plétée en avril 2010 (4) pour le secteur bancaire plus particulièrement.
Plus récemment, une étude réalisée par notre cabinet (5), auprès d’une ving-taine d’entreprises d’assurances, nous a confortés dans la réalité, mais aussi dans
la diversité, de cette problématique qui s’étend bien au-delà des seuls sujets du contrôle interne et de la qualité.
enjeux et problématiques
Notre expérience nous a conduits, au fil de nos interventions tant dans le sec-teur de l’assurance que dans les autres secteurs d’activité, à identifier trois pro-blématiques à l’origine des principaux dysfonctionnements dans l’articulation des dispositifs de gestion des risques opérationnels.
L’effet mille-feuille
Beaucoup d’organismes adoptent une attitude plus réactive que proactive en matière de gestion des risques opéra-tionnels. De ce fait, ils s’engagent dans la mise en place de ces derniers au gré de la publication de nouvelles exigences réglementaires. Ainsi, cette implémentation, insuffi-samment coordonnée, ressemble in fine à un mille-feuille, chaque dispositif correspondant à une « couche » supplé-mentaire de procédures et de contrôles dans l’entreprise. Cette approche est régulièrement expliquée, à défaut d’être justifiée, par les finalités différentes des dispositifs.
« Chacun son système, chacun chez soi ?»
Une approche réglementaire et normative
Dans le prolongement du point pré-cédent, la mise en place étant déclen-chée par la survenance d’une nouvelle exigence réglementaire, la méthodologie d’implémentation se résume souvent à une approche réglementaire et/ou normative du sujet, c’est-à-dire à la mise en place d’une réponse point par point, au détriment souvent d’une approche plus globale et systémique.
L’émergence de nouvelles fonctions
La mise en place de ces différents dis-positifs s’accompagne généralement de l’émergence de fonctions ad hoc incluant la responsabilité de la construction, du déploiement et du pilotage du dispo-sitif considéré. Ces nouvelles fonctions ont bien souvent tendance, et cela peut se comprendre, à vouloir disposer de « leur » système et ne sont pas spon-tanément volontaires pour le partager avec d’autres fonctions, non seulement dans un souci d’autonomie dans la conception et le fonctionnement, mais également pour exister et être recon-nues dans l’entreprise. Ce phénomène peut se trouver renforcé par des lignes de rattachement hiérarchiques diffé-rentes, les acteurs du contrôle interne étant souvent affiliés aux fonctions financières, les fonctions qualité ou sécurité relevant d’autres domaines de responsabilité.
« Une implémentation, insuffisamment articulée,
ressemble in fine à un mille-feuille »
Ces trois phénomènes ne sont pas sans conséquences sur l’efficacité de la ges-tion des risques opérationnels au sein de l’entreprise.
Première conséquence, impactant directement la qualité de la gestion des risques opérationnels : il devient très difficile, dans un environnement où les différents dispositifs sont parallélisés et pilotés chacun par un responsable jaloux de ses prérogatives, d’avoir une visibilité globale de l’exposition de l’or-ganisme aux risques opérationnels et de la qualité des réponses apportées par l’entreprise. L’autonomie des dispositifs conduit les différents acteurs à déve-lopper des référentiels et méthodolo-gies qui, sans entrer nécessairement en opposition, ne sont pour autant pas ali-gnés : cette situation renforce la difficul-té d’agrégation et de consolidation des données et diminue donc la visibilité qui en résulte. Ceci est d’autant plus préjudi-ciable dans la perspective de Solvabilité II, qui requiert cette vision consolidée afin d’établir notamment le profil de risques. De ce fait, quelle garantie pour l’organisme d’avoir adressé l’ensemble des risques opérationnels ?
Second point, directement lié au pre-mier : l’approche en silo des dispositifs de gestion des risques opérationnels conduit inévitablement les organismes d’assurances à un manque d’optimi-sation dans l’utilisation des ressources consacrées au dispositif, ce qui est d’au-tant plus préjudiciable que le niveau de ces ressources s’est fortement accru au cours des dernières années. En effet, ces
approches en silo, ou du moins insuffi-samment coordonnées et articulées, peuvent limiter la capacité de l’orga-nisme à mettre en œuvre les synergies, pourtant réelles, existant entre les diffé-rents dispositifs. À nouveau, l’exemple le plus frappant réside dans l’analyse com-parée des exigences sous-tendant les systèmes de management par la qua-lité, telles que structurées par la norme ISO 9001 v. 2008, et des dispositifs de contrôle interne, tels que préconisés par le Coso. La revue détaillée de ces deux référentiels, pour peu que l’on s’intéresse au fond et ne se restreigne pas à la forme – et notamment aux différences de vo-cabulaire –, fait apparaître une conver-gence très forte que l’on peut estimer entre 60 % et 80 %. Cette convergence porte ainsi à la fois sur les approches par les processus, la gestion des incidents – également appelés « non-conformités » –, la nécessité de gérer les ressources, le besoin d’une politique, les principes d’une amélioration continue, etc. La liste est trop longue pour pouvoir être citée exhaustivement ici.
« Une convergence des référentiels Qualité et Contrôle Interne com-prise entre 60 et 80% »
Ces synergies existent également parmi d’autres aspects relevant des risques opérationnels, par exemple entre, d’une
part, les obligations en matière de ges-tion des risques liés à la sous-traitance et, d’autre part, les exigences qualité en matière de relation avec les fournis-seurs…
Concernant la gestion des risques opé-rationnels en particulier, il est vrai que la norme ISO 9001 n’impose pas la réa-lisation d’une analyse des risques liés à l’insatisfaction des clients. Pour autant, deux éléments devraient inciter forte-ment les entreprises à intégrer cette di-mension dans leur système de manage-ment qualité : le fait que les réflexions en cours sur les évolutions de la norme vont dans ce sens et que, le risque se définis-sant comme tout événement suscep-tible d’empêcher l’atteinte des objectifs de l’organisme, cette étude constituerait peut-être le meilleur moyen d’appro-cher les actions préventives recherchées par la norme ISO. L’expérience montre que les organismes certificateurs recon-naissent la valeur ajoutée de cette ap-proche pour les systèmes qualité.
Ces synergies sont autant d’opportuni-tés pour l’entreprise qui, si elles ne sont pas saisies, constituent au mieux des surcoûts, au pire des manques à gagner.
Troisième effet, peut-être le plus pro-blématique pour l’entreprise : la diffi-culté pour les équipes opérationnelles à s’approprier les dispositifs. Un constat simple : un opérationnel ne fait son tra-vail qu’une fois, et il n’est pas possible de lui demander d’arbitrer les différents référentiels à son niveau. Il n’est pas en position de faire la synthèse entre les demandes du contrôle interne, celles de
la qualité, celles de la conformité… Si les fonctions centrales en charge de la conception et du déploiement des diffé-rents dispositifs ne font pas cet effort, le plus probable sera que chacun choisira le référentiel dans lequel il se reconnaît ou celui auquel il a été formé en premier ou, pis, rejettera l’ensemble des disposi-tifs, ne sachant pas comment les mettre en œuvre de manière satisfaisante. En témoigne cette intervention, menée à la demande d’une direction métier d’un groupe international pour l’aider à faire ce travail de synthèse et rendre opéra-tionnelle l’accumulation de directives émises par non moins de cinq fonctions centrales (direction des risques, direc-tion du contrôle interne, direction quali-té, direction environnement et direction sécurité), qui oscillaient entre l’indiffé-rence polie et les mesures contradic-toires !
Or, comme nous l’avons vu plus haut, une des clés du succès des dispositifs de gestion des risques opérationnels réside justement dans la capacité du management intermédiaire à s’appro-prier ces mesures et à les porter auprès de ses équipes. Il est d’ailleurs frappant de constater à quel point, au cours des dernières années, la gestion des risques opérationnels est passée, dans les for-mations supérieures proposées tant par les écoles que par les universités, du statut de spécialité réservée à quelques experts à celui d’une composante à part entière du rôle de manager !
les réponses possibles
Face à ces constats et à leurs consé-quences sur l’efficacité des dispositifs, quelles réponses peuvent être appor-tées par l’urbanisation de la gestion des risques opérationnels ? Quels sont les facteurs clés de succès de cette urbani-sation ?
Notre expérience nous a conduits à identifier cinq éléments de réponse principaux.
Une approche globale des systèmes
Cette approche globale ne réside pas nécessairement dans une approche unique des dispositifs, par une fusion des systèmes et des équipes en charge de leur développement et de leur dé-ploiement. Elle implique en revanche une réflexion approfondie sur les com-posantes de ces systèmes qui, si elles ne répondent effectivement pas à des objectifs identiques, nécessitent la mise en place d’organisations, de procédures ou de systèmes d’information similaires. Cette réflexion est grandement facilitée dès lors que l’on prend conscience que, d’une part, ces différents dispositifs sont tous conçus pour permettre à l’orga-nisme de mieux maîtriser ses activités en prenant en compte les attentes de par-ties prenantes différentes (le contrôle interne adresse plus particulièrement les propriétaires de l’organisme, la qua-lité ses clients, la sécurité son personnel, la conformité le régulateur…) et que, d’autre part, d’un point de vue structu-
rel, tous les systèmes de management répondent à une architecture commune résumée en quatre points :
• un premier domaine d’exigences correspondant à la stratégie et à la politique de l’entreprise (les objec-tifs poursuivis, le rôle des différents acteurs, leurs interactions) ;
• un second domaine relatif à l’inté-gration du dispositif dans la réalisa-tion des activités, dans l’exécution des processus ;
• un troisième portant sur le contrôle, la supervision et la surveillance du dispositif ;
• un dernier touchant au pilotage et à l’amélioration continue du dispo-sitif.
Rien d’autre finalement que la fameuse boucle d’amélioration PDCA (plan, do, check, act) chère aux qualiticiens, égale-ment connue sous le nom de « roue de Deming ».
Le fait de repositionner les exigences et pratiques des divers dispositifs dans ces différents domaines facilite largement la mise en commun d’un grand nombre de modules.
Bien entendu, certains aspects reste-ront spécifiques (l’écoute du client, par exemple, pour la qualité), sans pour au-tant entrer en opposition avec les autres.
« Développer une vision globale supportée par un référentiel socle partagé »
Un référentiel socle
Même pilotées par des équipes diffé-rentes, l’élaboration et la mise à dispo-sition d’un référentiel socle et partagé constituent le second point clé d’une approche intégrée. Il s’agit ainsi d’ap-porter une réponse globale et unifiée aux attentes des opérationnels en leur délivrant non plus un référentiel de contrôle interne ou un référentiel qua-lité, mais bien un référentiel d’entreprise explicitant les processus et procédures retenus par l’entreprise pour la réalisa-tion des missions et activités.
Ainsi, lorsque les équipes opération-nelles mettent en œuvre ce référentiel, elles répondent de fait aux exigences des différents règlements ou normes mais surtout elles contribuent au dé-ploiement de la stratégie et des objectifs opérationnels de l’entreprise.
Un système d’information partagé
Corollaire direct du point précédent, la recherche d’un système d’information partagé par les différents dispositifs per-mettra aux acteurs d’avoir accès à la fois à une source d’information unique (pro-cédures, formulaires, fiches de fonction, etc.) mais aussi à une « boîte à outils » globale leur permettant de remplir l’en-
semble de leurs obligations : analyses de risques, reporting, réalisation et suivi des plans de contrôle, déclaration d’inci-dents…
Des fonctions articulées
La mise en œuvre d’une approche glo-bale de la gestion des risques nécessite la réalisation d’une cartographie à la fois des acteurs et des instances intervenant dans les différents dispositifs. Il s’agit ainsi de déterminer les missions de cha-cun mais également ses interfaces avec les autres.
Ce travail doit porter tant sur les ins-tances (comité d’audit, comité des risques, revue de direction, comité sécurité, revue de processus, etc.) que sur les fonctions centrales (direction des risques, contrôle interne, qualité, sécurité, conformité, RSSI, etc.), mais également sur les fonctions déconcen-trées (correspondant qualité, référents contrôle interne, contrôleurs, etc.).
Outre les missions et interactions, un travail sur le séquencement des travaux s’avérera nécessaire afin de garantir notamment le respect des échéances réglementaires en matière de reporting et aussi la tenue des obligations nor-matives en termes de cycle de manage-ment.
Un accompagnement renforcé des managers
Comme nous avons déjà eu l’occasion de le dire à plusieurs occasions, la ligne de management opérationnel est au cœur des différents dispositifs de gestion du risque opérationnel. Or, les résultats de notre baromètre Solvabilité II pour 2011 (6) montrent clairement, dans la lignée de l’édition 2010, un net décrochage des équipes opérationnelles dans la com-préhension et donc dans l’appropriation de cette problématique par rapport aux équipes fonctionnelles en charge de leur pilotage.
Il est donc essentiel de proposer un dispositif d’accompagnement à desti-nation de cette population, au travers notamment d’un programme de forma-tion et de sensibilisation, lui permettant à la fois de comprendre les fondements théoriques des différents dispositifs mais surtout d‘implémenter ces derniers de manière efficace.
« Mettre le dispositif cible au service des managers »
Nicolas GuillaumeAssocié
Tuillet Risk & Management
Notes1. « Contrôle interne et qualité. Pour un management intégré de la performance », unité de recherche Ifaci, mai 2008.2. Qualité et management. Lignes directrices pour le développement de synergies entre systèmes de management au sein des organismes. Cas particulier du système de management de la qualité et du contrôle interne, FD X50-198, Afnor, mai 2009.3. « L’urbanisme du contrôle interne : comment en améliorer l’efficacité ? quelle place pour l’audit interne ? », prise de position, Ifaci, septembre 2008.4. « Pour un urbanisme du contrôle interne efficient. Sept prises de position du groupe professionnel banque », prises de position, Ifaci, avril 2010.5. « Le point sur… qualité et contrôle interne en assurance. Quelle intégration des systèmes ? », Sinequa Risk & Manage-ment (désormais Tuillet Risk & Management), juin 2011.6. Baromètre national Solvabilité II, réalisé par le groupe Tuillet auprès de 40 organismes et publié en juillet 2011.