Open Banking

REX – Implémentation d’un SI de Gestion des Risques

25 juin 2012

Pilotage par les risques, approche par les processus, efficience du dispositif de contrôle interne…. Ces mots résonnent comme un leitmotiv chez nos clients. Comment mettre en œuvre ces concepts ? De plus en plus d’organisations font le choix de se doter d’un outil de gestion des risques intégrant l’ensemble de ces dimensions
Au-delà de ces fonctions essentielles,  l’implémentation d’un SIGR permet également d’atteindre d’autres objectifs, parfois identifiés comme secondaires par les acteurs du projet, mais qui vont s’avérer une réelle plus-value pour le dispositif de gestion des risques.  Parmi nos réalisations de projet « convergents » (plateforme commune « Risques-Contrôles & éléments connexes »)

–    Créer une « plateforme commune » d’échange entre les différents acteurs du dispositif de gestion des risques tels  que le responsable des risques, du contrôle permanent, de la conformité et de la sécurité financière leur mettant ainsi à disposition un outil de partage et de suivi de l’information.
–    Déplacer la charge de travail de la collecte vers l’analyse : s’assurer dans un premier temps de l’optimisation du processus de collecte et de la qualité des données (déclarations d’incidents, résultats des contrôles, …) pour se consacrer sur son traitement et sa résolution via la mise en place d’actions correctrices ou de plan d’actions avec des échéances déterminées.
–    Pérenniser la démarche entreprise d’identification et de suivi des risques : passer de tableurs développés en interne au sein de chaque service à un outil structuré et structurant quant à l’organisation à mettre en place et aux processus de collecte et d’analyse des données.
–    Doter l’organe dirigeant d’un outil en quantitatif et non plus qualitatif permettant ainsi un pilotage facilité de l’activité par les risques.
–    Doter chaque acteur du correct niveau d’information : une vision opérationnelle pour les acteurs métiers en leur mettant à disposition une évolution au quotidien des risques «  métiers » et une vision plus périodique pour le management afin de les aider dans leurs prises de décisions avec des indicateurs graphiques et des alertes calibrées en fonction de leur appétence au risque.

La conduite de ce type de projet innovant génère des problématiques liées à la résistance au changement qui a pu prendre diverses formes :
–    Réticence d’acteurs du dispositif de gestion des risques qui ont dû abandonner les spécificités de leurs outils – le plus souvent développés en  interne- et leurs méthodologies de travail individuelles (collecte et traitement des données, modalité de reporting)  pour migrer vers un outil commun permettant la prise en charge et le traitement des diverses informations traitées auparavant de façon indépendante et non corrélées les unes aux autres.
–    Résistance au partage d’information entre les acteurs faute d’avoir réalisé un consensus préalable sur une méthodologie et une évaluation des risques voire sur la représentation organisationnelle des activités de l’entité.
Il s’agit ici de tout le paradoxe de la mise en place d’un outil de gestion des risques : déployer un outil permettant la mise en œuvre d’une gestion centralisée des incidents et d’un partage de l’information  sur un modèle commun partagé par tous, tout en amenant les différents utilisateurs à accepter une nouvelle  modélisation de leurs données, format de reporting ou tout simplement présentation visuelle des données. La migration vers une utilisation commune d’un outil entraine aussi ces derniers à laisser un plein accès,  à diffuser une information qui auparavant leur était propre et pouvait de ce fait être source de pouvoir ou de frictions internes.
Nous pouvons alors faire face à un sentiment de frustration voir de « nostalgie » de la part des utilisateurs qui ne perçoivent pas dans un premier temps la réelle valeur ajoutée de l’outil et ne se focalisent uniquement que sur les attributions « perdues » du fait de la mise en place de cet outil.

La réalisation de ce type de projets nous a permis de renforcer nos sur l’approche et les moyens à mettre en œuvre. Nous avons pu de ce fait identifier les fondements majeurs qui en feront un succès.

–    Associer, dans la réalisation de la définition du besoin, les utilisateurs finaux (ne pas se limiter aux acteurs de la filière risque/ contrôle) afin de s’assurer de la correcte adaptation et appropriation de l’outil à tous les membres de l’organisation (utilisateurs et contributeurs) et que ce dernier réponde pleinement aux demandes des utilisateurs notamment sur les aspects visuels et ergonomiques.

–    S’assurer que tous les acteurs du projet : clients, éditeur, intégrateur et consultants utilisent le même langage : la création d’un glossaire dès le début du projet s’avère alors une étape cruciale pour s’assurer du champ sémantique qui sera utilisé par la suite.

–    Vérifier l’intégrité des données et leur exhaustivité. Bien que cette précaution semble évidente, il peut s’avérer « contraignant » de se rendre compte à mi projet que toutes les données à introduire dans le SIGR n’ont pas été communiquées à temps ou que ces dernières font l’objet d’une erreur qui est « historiquement » corrigée par un traitement interne qui ne sera pas intégré par l’outil

–    Assurer une communication continue et auprès de tous les collaborateurs/utilisateurs finaux et non pas se concentrer uniquement sur les membres du comité de projet ou comité de pilotage. Cela permet d’englober de façon progressive les différentes parties prenantes du dispositif cible et ainsi de générer un sentiment d’appartenance et de contribution au projet– permettant le plus souvent – de se prémunir de toutes formes de rejet envers le changement et l’innovation

–    Identifier  et lister –le plus en amont  possible – les éventuelles évolutions qui seront attendues de l’outil dans ses prochaines versions. Cela permet notamment de prendre en compte les besoins des contributeurs, au-delà de l’expression de besoin initiale, généralement issue exclusivement de la filière risque, et de favoriser l’appropriation de l’outil.

Enfin, nous ne retiendrons qu’au-delà d’une volonté première de doter l’organisation d’un outil de gestion des risques, cette demande a tendance à évoluer  vers d’autres demandes au fur et à mesure de son appropriation par les utilisateurs et de la maturité du dispositif en place. L’acquisition d’un SIGR s’inscrit de plus en plus dans une démarche de type ERM et il n’est plus rare de voir des nouvelles demandes émaner de la part de nos clients sur des problématiques liées au PCA, à la gestion des réclamations, à l’acquisition de modules complémentaires (audit, générateurs de reporting,…) qui sont autant d’opportunités de renforcer la convergence de l’outil, de maximiser l’utilisation de son champ fonctionnel et de se doter d’un SIGR qui soit un socle efficient de l’ERM  .

Ecrit par Vincent Joyeux.

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse vosdonnees@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles