Ces dernières années, de nombreuses affaires liées aux risques opérationnels telles que la catastrophe de l’usine AZF (causant la mort de 31 personnes, faisant 2 500 blessés et de lourds dégâts matériels) ou la très récente affaire UBS (qui selon les estimations pourrait avoisiner 1,8 Milliards d’€) ont attiré l’attention des décideurs sur la nécessité de doter leurs entreprises de dispositifs préventifs.

Si le secteur bancaire fait régulièrement parler de lui dans la presse sur ce thème, il serait erroné de croire qu’il est le seul concerné. Toutes les entreprises, quels que soient leur taille et leur secteur d’activité doivent y faire face.

De plus, il est intéressant de constater que le rythme de pilotage des risques s’est fortement accéléré ces dernières années. En effet, il devient désormais courant de voir des entreprises piloter leurs risques à des fréquences hebdomadaire voir quotidienne là ou quelques années en arrière la norme était trimestrielle ou mensuelle.

Mais au-delà des bonnes intentions, la mise en oeuvre d’une stratégie de gestion du risque se heurte souvent à des freins d’ordre psychologique (champ d’application très vaste, difficilement mesurable,…) et/ou organisationnel (sujet transverse généralement déjà couvert partiellement par plusieurs départements tels que l’audit interne, les équipes incidents, les secrétariats généraux…).

Contrairement aux approches « traditionnelles », nous vous proposons dans cet article une approche innovante basée sur les processus.

Les processus métier supportent les risques opérationnels de l’entreprise

Etablir une cartographie des processus métier

fig1

La première étape, et sans doute la plus importante, consiste à établir une cartographie des processus métiers. Qu’ils soient endogènes ou exogènes, les risques s’expriment au travers des processus ; c’est pourquoi il est indispensable de les cartographier.

Réaliser une cartographie consiste à représenter l’entreprise sous la forme de logigrammes cohérents (niveau des processus) intégrant l’ensemble des activités réalisées par l’entreprise ainsi que leurs interdépendances.

Positionner sur chaque activité les acteurs et les systèmes d’information qui y contribuent

fig2

Dans un objectif de pilotage des risques, il est fondamental d’enrichir cette cartographie en positionnant sur chaque activité les acteurs ainsi que les systèmes qui y contribuent. Cela permettra par la suite d’identifier aisément les défaillances relatives au personnel ou aux systèmes (2 composantes majeures du risque opérationnel).

Ce travail de cartographie réalisé, l’entreprise dispose désormais d’une vision exhaustive des activités ainsi que des acteurs et des systèmes d’informations concernés.

Il s’agit maintenant d’identifier les risques opérationnels potentiellement encourus par l’organisation.

Définir et évaluer les risques encourus par l’entreprise au regard des activités qu’elle réalise

Définir la typologie des risques en fonction du profil de l’entreprise

La notion de risque opérationnel recouvrant un champ d’application très vaste, chaque entreprise doit mener sa propre réflexion afin d’identifier la typologie de risques qui correspond à son profil. Cette étape est généralement confiée à un département transverse de type Risk Management ou Audit Interne. Cela s’explique par les deux dimensions de la démarche à entreprendre :

  • La dimension interne qui consiste à identifier sur l’ensemble des processus modélisés, les risques qu’ils pourraient faire encourir à l’entreprise.
  • La dimension externe qui consiste, par l’intermédiaire d’un benchmark sectoriel (recensement des incidents ayant eu lieu sur des activités similaires aux nôtres) à compléter / valider l’approche interne.

Le travail de benchmark, bien que long et fastidieux, se doit d’être mené. En effet, celui-ci permet d’une part de garantir l’exhaustivité des risques identifiés mais il permettra ultérieurement d’enrichir considérablement la base d’historisation des incidents avec l’ensemble des incidents qui ont eu lieu au sein d’entreprises qui encourent les mêmes risques.

Positionner sur chaque activité les risques opérationnels associés

fig3

Pour chaque activité identifiée dans la cartographie des processus, il faut maintenant y associer les risques correspondants. Il conviendra par exemple d’associer à une activité de paiement, un risque de fraude ainsi qu’un risque de non paiement). Ce travail collaboratif associe d’une part les responsables opérationnels qui deviennent ainsi des process owner et d’autre part les correspondants risques locaux, garants de la bonne utilisation de la typologie de risque.

La cartographie de processus est désormais enrichie de l’ensemble des risques potentiels générés par les activités que l’entreprise exerce.

Recenser les incidents, évaluer les risques et définir le niveau de risque « acceptable »

L’étape suivante consiste à recenser les incidents survenus par le passé au sein de l’entreprise. Cela nécessite de mettre en oeuvre une base de données de gestion des incidents qui sera renseignée de manière déclarative par les correspondants risques locaux. Cette base de donnée sera ensuite enrichie par l’équipe centrale (Risk Management ou Audit Interne) qui aura mené en amont le benchmark sectoriel évoqué précédemment. Pour étayer l’importance de ce benchmark, prenons le tragique exemple de la centrale de Fukushima ; il apparaît évident que chaque centrale en bord de côte se doit d’en tirer les leçons et d’intégrer le risque de Tsunami dans son référentiel de risque opérationnel.

Pour être pleinement exploitable cette base de recensement des incidents doit s’aligner sur la cartographie des processus. Chaque incident devra donc être renseigné en précisant l’activité et le risque concerné.

L’analyse de cette base des incidents, associée à la connaissance des responsables opérationnels, doit permettre d’évaluer les risques. Cette évaluation passe notamment par la définition des Key Risk Indicators (KRI) : éléments quantitatifs susceptibles d’augmenter la probabilité de réalisation d’un risque.

Enfin, au regard de ces informations, l’entreprise doit déterminer le niveau de risque qu’elle juge ‘acceptable’, permettant ainsi de dimensionner les mesures de contrôles à mettre en place.

Définir, mettre en oeuvre et piloter le plan de contrôle

Définir et mettre en oeuvre le plan de contrôle au regard du niveau de risque défini comme « acceptable »

fig4

Une fois le niveau d’acceptabilité du risque défini, la phase suivante consiste à déployer sur l’ensemble des activités de l’entreprise un plan de contrôle permettant de maîtriser ces risques.

Afin d’en garantir une parfaite couverture, chaque binôme ‘activité – risque’ modélisé devra faire l’objet d’un ou plusieurs contrôles. Ces contrôles seront ensuite intégrés au sein de la cartographie.

Piloter le plan de contrôle

Le plan de contrôle (ensemble des contrôles précédemment identifiés) doit être piloté par les opérationnels en charge des activités. La fréquence des contrôles est définie en fonction du niveau de risque et de la fréquence même de l’activité.

Ce pilotage peut être formalisé à travers différents dispositifs :

  • Reporting a posteriori (du contrôle). Cela permet de s’assurer de la bonne réalisation du contrôle mais il n’est pas possible de lancer des procédures d’urgences permettant d’éviter l’incident.
  • Alerte temps réel (pendant le contrôle). Ce dispositif d’alerte permet d’agir au moment auquel survient la défaillance et permet donc potentiellement d’éviter que celle-ci se transforme en incident.

Le dispositif d’alerte temps réel paraît être la solution idéale de prime abord; toutefois sa mise en oeuvre s’avère souvent très lourde et très coûteuse (ex : automatisation des contrôles au sein des systèmes de production et couplage avec un système de reporting temps réel pour une remontée automatique des alertes).

A l’échelle d’une entreprise, il n’est pas rare de voir les deux systèmes coexister. Un compromis intéressant consiste à piloter les activités très risquées et fortement automatisées via un dispositif d’alerte temps réel ; le reste des activités étant piloté via un reporting de contrôle a posteriori.

Conclusion

Pour faciliter le suivi et l’évolution des processus, des risques et du plan de contrôle, plusieurs éditeurs de logiciel spécialisés dans la modélisation de processus ont fait évoluer leur offre de système d’information afin d’y intégrer une dimension risque opérationnel. Cela se traduit par des outils complets au sein desquels il est fréquent de retrouver en plus des fonctionnalités standards de modélisation d’organisation et des processus métiers, des fonctionnalités de collecte et stockage des incidents, exploitation statistiques des données historiques, mesure du risque et reporting.

Tout cela a évidemment un coût ! Mais ce coût doit être analysé au regard du ROI de ce type de projet qui, au-delà des gains difficilement chiffrables (correspondant aux pertes potentiellement évitées), intègre également une forte contribution à la rationalisation des processus (se traduisant par des gains de productivité) et l’amélioration de la qualité (se traduisant par des réductions de coûts de production et une meilleure image de marque auprès des clients).

Guillaume DURUPT est Manager au sein du cabinet Décision Performance Conseil, il intervient dans le domaine bancaire sur les thématiques réglementaire, processus et risques.

Décision Performance Conseil : Société de conseil spécialisée dans la définition et la maîtrise des projets d’amélioration de la performance de l’activité et d’évolution des systèmes d’information.