Comme nous l’avons vu dans la première partie de notre dossier sur le management des risques, la gestion des risques SI s’est progressivement mise en place au travers de filières dédiées à chaque type de risques (lire l’article : « une gestion des risques SI au cœur de l’innovation et des métiers »).
Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.
Une vision d’ensemble difficile à obtenir…
Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépendamment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.
L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’évaluation et le traitement des risques. Ces silos pénalisent l’entreprise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :
- Quelle est globalement mon exposition aux risques ?
- Ai-je bien mis les priorités aux bons endroits ?
Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.
… et d’inévitables redondances
L’approche en silos a un second inconvénient : elle génère naturellement une sur-sollicitation des métiers : on constate souvent autant de sollicitations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notamment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.
La solution réside donc dans l’orchestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.
Vers une cible d’organisation intégrée : la « tour de contrôle »
L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rapprochement favorise ainsi la consolidation d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’optimisation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.
Mais attention : rapprochement des filières ne veut pas dire fusion des filières.
Chacune a recours à des compétences, des expertises et des normes spécifiques.
Si la « tour de contrôle » est l’organisation optimale cible, il n’est pas évident de l’implémenter immédiatement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les bases d’une approche des risques partagée et introduire un changement de culture. Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.