Les précédents articles consacrés à la thématique de la gestion des risques nous ont permis de décrire un modèle d’organisation facilitant une gestion des risques intégrée : la “tour de contrôle”. Dans ce dernier article, nous aborderons la question de sa mise en place, que l’on peut découper en 4 étapes : utilisation d’une échelle commune, définition d’un portefeuille de risques, optimisation du travail avec les métiers et mise en commun des plans d’actions.
Étape 1 : utiliser une échelle commune, un pré-requis à la démarche
Disposer d’une échelle commune visant à mesurer les risques semble une évidence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartographies des risques élaborées. C’est donc la première étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’identifier les points de dépendance clés.
Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.
Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique
La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.
Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de positionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsabilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.
Étape 3 : transformer la relation avec les métiers
Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.
Plusieurs leviers d’optimisation sont à mettre en œuvre :
- Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au travers d’entretiens ou de questionnaires communs sur ces périmètres.
- L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
- La mutualisation de la restitution et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la validation des risques.
Étape 4 : partager les plans d’actions
En intégrant la vision des risques, la définition des plans d’actions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peuvent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :
- Les actions de réduction des risques sur les zones d’adhérence peuvent ainsi être définies collégialement, chaque filière traitant d’une composante du risque ;
- Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.
Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régulier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’ensemble des composantes des plans de traitement.
La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.
Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.
Pour en savoir plus, vous pouvez également consulter notre synthèse : “Management des risques : plaidoyer pour une vision unifiée”