La gestion des risques au service de la modélisation des processus

La démarche de maîtrise des risques majeurs et de mise en place d'un dispositif de contrôle peut permettre de répondre conjointement aux objectifs de conformité réglementaire et de performance opérationnelle.

La démarche de modélisation des processus métier a comme objectif principal l'efficacité et la normalisation des processus. Il s'agit d'un travail profond, de longue haleine, exhaustif, visant à optimiser et harmoniser l'ensemble des processus métier.
Ces projets s'étalent sur plusieurs années. Ils nécessitent des étapes longues et exhaustives d'identification et d'analyse des procédures et des applications informatiques existantes. Ce travail de modélisation, de simulation et de validation des processus cibles est lourd et important.

Ces démarches sont conduites par de petites équipes d'experts dédiés et les opérationnels ont peu de visibilité sur l'avancement des projets jusqu'à la phase de mise en application. L'intégration de nouvelles structures ou de nouvelles activités est lente et les activités externalisées ne peuvent entrer dans le périmètre de travail.

Cette approche part du postulat qu'il est possible d'uniformiser les processus malgré la diversité de situation (taille, culture, compétence, management local...). Les organismes qui ont initié une telle démarche rencontrent souvent des difficultés importantes pour mener à bien leur projet. On peut penser à certaines sociétés qui, ayant identifié 23 processus clés, n'ont réussi à modéliser que la moitié de ces processus en l'espace de 3 à 4 ans.

Le retour sur investissement du projet est difficile à établir et long :

- Les indicateurs sont compliqués à mettre en place (prise en compte nécessaire de plusieurs cycles de gestion, changements de périmètres, autres facteurs d'influence...)
- Le coût de modélisation est démesuré pour les processus non clés,
- Le retour sur investissement est plus long que les cycles de gestion (objectifs du management et budget),

On note également une forte résistance au changement des opérationnels, qui sont peu impliqués dans la démarche. La réussite d'un tel projet nécessite des ressources importantes dédiées au projet et le choix d'un premier périmètre restreint, ainsi que la mise en place d'indicateurs complexes pour suivre l'amélioration de la performance.

La démarche de maîtrise des risques majeurs et de mise en place d'un dispositif de contrôle peut permettre de répondre conjointement aux objectifs de conformité aux différentes réglementations et de performance opérationnelle.

Cette démarche est beaucoup plus focalisée : partant des risques majeurs de l'organisation, elle se propose de mettre en place un dispositif de contrôle interne pour identifier les déficiences et piloter les actions correctives.

La mise en oeuvre d'un tel projet peut se réaliser en deux à trois mois avec des résultats tangibles rapides. Sa réussite repose sur la sensibilisation et la responsabilisation des opérationnels et permet de formaliser les circuits de responsabilité et de délégation. La démarche peut être réalisée progressivement et intégrer les activités déléguées et celles automatisées dans des applications informatiques. Les évolutions d'organisation peuvent être très facilement prises en compte.

L'ambition de cette approche peut augmenter progressivement avec des étapes successives de cartographie des risques et d'évaluation de la conformité et de l'efficacité des contrôles pour évoluer vers un pilotage de la mise en place de bonnes pratiques, créant ainsi un véritable processus d'amélioration continue et durable. Elle permet également de diffuser une culture du contrôle interne, garant de la pérennité du dispositif.

Trois conditions doivent être réunies pour réussir un tel projet :
- un reporting complet et adapté à chaque responsabilité, facilement disponible et réalisé à partir d'une source unique d'information,
- des tâches administratives simplifiées et automatisées pour les opérationnels,
- une gestion complète de la cartographie des risques à la gestion des plan d'actions en passant par l'évaluation des pratiques internes.

Dans ce contexte, un outil intégré de gestion des risques, du contrôle interne, de la conformité et de performance opérationnelle disposant de fonctionnalités de reporting, de gestion de documents et suivi de plans d'actions constitue un véritable levier de réussite d'un tel projet.

En synthèse, les deux démarches qui peuvent sembler a priori proches sont en fait différentes en terme d'objectifs, de résultats, de durée de projet, de mode de management et de pérennité. Elles apparaissent donc plutôt comme complémentaires.

Pour garantir l'atteinte de l'ensemble des objectifs, il est probablement plus favorable de commencer par une approche risques majeurs et contrôle interne pour préparer une refonte plus profonde des processus métier. En effet, l'identification des principaux risques et de leurs impacts potentiels peuvent constituer un levier pour initier un travail plus ciblé de refonte de processus et une acceptation des changements d'organisation.