Maîtrise des risques et performance … et si l’on parlait de génétique et de maîtrise de la performance ?

Si l’on voulait réduire à sa plus simple expression l’essence même de l’existence d’une entreprise, on pourrait simplement dire qu’il est dans son ADN de souche de maintenir et développer sa valeur.

L’entreprise doit veiller à être protégée de tout ce qui pourrait nuire à son existant afin de maintenir sa valeur actuelle, tout en saisissant les opportunités qui lui permettront d’accroître sa valeur future.
Pour accroître sa valeur future, l’entreprise va  définir une stratégie à laquelle seront associés des objectifs qui se déclineront dans toutes les strates managériales. L’atteinte de ces objectifs se réalisera au travers de projets, ou de processus opérationnels déjà existants, qui s’exécuteront en s’appuyant sur tout un ensemble de moyens qui constituent la valeur actuelle de l’entreprise (organisation, RH, outils de production, gamme produits existants, moyens physiques, etc.).
Le suivi efficace de la mise en œuvre opérationnelle de la stratégie de l’entreprise nécessite dès lors de disposer d’un processus spécifique de pilotage de la performance. On constate aujourd’hui que ce processus est de plus en plus intégré dans l’ADN de l’entreprise avec l’accélération de la mise à disposition auprès des managers d’outils de Business Intelligence (BI).
Mais l’environnement interne et externe dans lequel évolue l’entreprise s’est aussi notablement complexifié en termes de volumes d’informations disponibles, d’échange de données, de vitesse des échanges, etc. Pour répondre à ces nouveaux défis de volume et d’agilité, et assurer le maintien et l’amélioration de sa performance, l’entreprise doit aussi faire muter son ADN en enrichissant sa BI (Business Intelligence) de nouveaux outils comme les Event Stream Processing et les Complex Events Processing par exemple. Outils éminemment dynamiques qui lui permettront d’assurer le plus efficacement possible le pilotage de sa performance
De ce fait, le manager va se retrouver naturellement de plus en plus connecté dynamiquement avec son environnement opérationnel au travers de tableaux de bord de pilotage de la performance à la pertinence accrue.

Et la maîtrise des risques dans tout cela ?

Dans une brève histoire du temps de la formalisation de la maîtrise des risques en entreprise, on peut constater deux grandes étapes.
Suite à plusieurs scandales financiers retentissants, la première étape a consisté à mettre en œuvre une approche de contrôle des opérations, plus particulièrement focalisée sur les processus comptables et financiers, avec l’évaluation du dispositif de contrôle interne associé. C’est l’émergence de la loi Sarbanes Oxley (SOX) aux USA et de la Loi de Sécurité Financière (LSF) en France par exemple.
Pour répondre à cette contrainte de contrôle des opérations, un certain nombre d’entreprises se sont équipées de systèmes d’information « stand alone » leur permettant de mettre en œuvre plus efficacement ces dispositifs de contrôle interne. Avec l’élaboration de tableaux de bord spécifiques pour suivre l’efficacité de leur dispositif, les fonctions de contrôle interne ont dès lors commencé à créer leur propre ADN, déconnecté des préoccupations de performance des managers.
Dans un second temps, avec l’expérience et la maturation de la réflexion, la nécessité est apparue de mettre en œuvre une démarche globale de maîtrise des risques de l’entreprise en élargissant la configuration initiale du dispositif de contrôle interne à l’ensemble des risques de l’entreprise et en le faisant communiquer avec d’autres fonctions comme le Risk Management, l’Audit Interne, etc.
Les réglementations ont de ce fait évolué pour prendre en compte cette nouvelle dimension de maîtrise globale des risques.
Tout en restant « stand alone », les systèmes d’information associés sont ainsi devenus globaux permettant de traiter une partie importante des fonctions chargées de la maîtrise des risques (Risk Management, Contrôle Interne, Audit Interne, …). Les tableaux de bord initiaux de contrôle interne ont suivi l’évolution en s’enrichissant, mais en restant spécifiques à la maîtrise des risques.
L’ADN du contrôle interne a alors muté en ADN de la maîtrise des risques mais, il est resté un ADN statique déconnecté de la performance et toujours entaché auprès des managers d’une image de contrainte réglementaire.
Et pourtant, de la même façon que M. Jourdain faisait de la prose sans le savoir, chaque manager opérationnel fait tous les jours de la maîtrise des risques, sans le savoir. Dans son souci de maîtriser et d’améliorer sa performance, il procède constamment, sans le formaliser véritablement, à l’identification et l’évaluation de ses risques, à l’élaboration d’actions lui permettant de mieux les maîtriser, à l’analyse du couple risque/opportunité pour prendre les meilleurs décisions, etc. Il est, et restera bien, le premier acteur de la maîtrise des risques dans l’entreprise.
Mais malgré cette très forte proximité opérationnelle, les deux univers de la maîtrise des risques et de la performance ont finalement évolué en parallèle sans véritablement se croiser alors qu’ils ont une vocation naturelle à se rencontrer afin de fusionner leurs ADN pour le plus grand bénéfice du manager.

Une troisième étape se profile clairement aujourd’hui, mentionnée d’ailleurs dans le COSO 2013.
Il ne peut y avoir de maîtrise des risques efficace si elle n’est pas, au même titre que la performance, placée nativement au cœur de l’entreprise, si elle ne fait pas partie intégrante de l’ADN de souche de l’entreprise. Pouvant dès lors être connectée aux différents systèmes d’information de l’entreprise, la maîtrise des risques pourra accéder dynamiquement à l’ensemble des activités, des évènements, des données et informations de l’entreprise pour suivre et corréler les indicateurs de performance et les indicateurs de risques, répondant enfin aux préoccupations des managers opérationnels.
Maîtrise des risques et performance ont donc vocation à fusionner pour former un ensemble global cohérent à destination des managers opérationnels, afin d’assurer la maîtrise de la performance.
Le challenge pour les systèmes d’information est donc de mettre dès aujourd’hui à la disposition des managers opérationnels un tableau de bord unique et dynamique, de type « cockpit », dédié à la  Maîtrise de la performance.