Les démarches structurées de gestion des processus et de risques font désormais partie intégrante des stratégies internes des entreprises. Au-delà d’une tendance ou d’une obligation, le Management attend aujourd’hui de ces initiatives un véritable retour sur investissement. « Et c’est là que le bât blesse. »
Une cause ? Manque de convergence, objectifs restrictifs, démarches parallèles, contributeurs hétéroclites.
Le pragmatisme des entreprises s’accommode de moins en moins de ces situations.
De leur côté, les opérationnels, trop sollicités pour répondre toujours à la même question : « expliquez-moi votre travail » montent au créneau.
En conséquence, les gouvernances réclament une convergence des démarches risques, processus, qualité : Une évidence, tant les démarches risques et processus sont étroitement liées !
Avec un peu d’anticipation au démarrage, des passerelles existent et engendrent une forte valeur ajoutée !
Des prérequis identiques ?
Établir une cartographie des risques ou des processus n’est qu’une étape de la méthodologie. Pour avoir du sens, elles doivent être mises en perspective avec une vision transverse de l’entreprise, de sa stratégie et de ses objectifs. En intégrant cette dimension, les deux démarches permettent de prioriser, de se réinterroger sur les fonctionnements et l’organisation, et sur les outils supports utilisés.
1er prérequis – Une structure projet claire, intégrant :
- Un Sponsor haut placé dans la hiérarchie, portant la démarche et alimentant le projet sur la stratégie de l’entreprise, son évolution et les projets d’organisation,
- Un Manager dédié à la démarche, pouvant s’appuyer sur une structure projet (COPIL / COPROJ).
La première mission de la structure est de fixer un objectif à la démarche. Pour les processus comme pour les risques, l’objectif intègre à la fois :
- un champ d’action : toute l’entreprise, une filiale, un pays, une activité…
- un calendrier avec des jalons
- un but précis : mettre à jour les risques majeurs, identifier les risques et les plans d’actions liés, rentrer dans une démarche d’amélioration continue intégrant toutes les strates de l’organisation !
Tout cela peut sembler évident. Pourtant, en 2013, seulement 45 % environ des démarches BPM lancées avaient des objectifs clairement définis. Et 71% des démarches ne s’appliquent qu’à une partie des processus de l’entreprise.*
2e prérequis – Une méthodologie claire et adaptée :
Modéliser ses processus et procédures et/ou identifier ses risques sont des démarches longues et complexes. Ces travaux nécessitent une méthodologie claire, répondant aux objectifs fixés. Celle-ci doit être adaptée à la maturité de l’entreprise quant aux sujets « risques » ou « processus ». Dans un premier temps, les démarches sont « top / down », puis deviennent dynamiques en basculant dans le « bottom/up ». Il est donc indispensable de s’assurer que les méthodologies parlent à toute l’organisation en désignant un pilote, et en réalisant un test sur quelques processus ou une activité.
Pourtant, seule une entreprise sur deux formalise un référentiel méthodologique BPM *. Pour la gestion de risques, c’est près de 80%. **
Ce n’est qu’à l’issue du test que le déploiement pourra avoir lieu. Le calendrier, le cadencement, la présence de jalons clairs sont alors centraux. Pour cela, pas de secret.
- la solution est de s’appuyer dans un premier temps sur les objectifs de l’organisation pour se concentrer en priorité sur les processus stratégiques et les risques majeurs,
- la granulométrie des éléments produits doit être fixée précisément dans les méthodologies. Pour les deux démarches, une approche « poupées russes » est adaptée.
Dans l’étude référence*, 74% des entreprises mettant en œuvre une démarche processus n’ont pas de calendrier défini.
3e prérequis – Des indicateurs de surveillance :
Ces démarches peuvent rapidement s’enliser. Un manager dédié, garant de la méthodologie et des KPI’s adaptés sont autant de fondamentaux à définir dès le début. Ils permettent de suivre l’adhésion au projet et les retours sur investissement générés. Ils permettent de donner de la visibilité à la gouvernance et de pérenniser les approches.
Et là encore, ils ne sont pas souvent mis en place. Seulement 26% des entreprises se lançant dans une démarche processus disposent de KPI’s. Pour les démarches de gestion de risques, c’est un peu mieux avec 55% des managers responsables des risques réalisant un reporting régulier aux parties prenantes. **
Des démarches qui interagissent
Les deux approches sont complémentaires et s’auto-alimentent. Le management des risques est d’ailleurs un processus à part entière. Il nécessite d’être décrit dans toutes ses phases, de définir des rôles et responsabilités clairs, afin de garantir le dynamisme de la démarche et le respect de la méthodologie préalablement définie.
Pour garantir une couverture exhaustive, le plus simple est de s’appuyer sur les processus pour identifier les risques. Autre avantage de cette technique : permettre aux opérationnels de se projeter facilement sur les problématiques liées aux processus qu’ils gèrent.
La gestion de risques permet de se réinterroger sur l’efficacité et les faiblesses des processus et de générer des plans d’actions priorisés. Les dispositifs de maitrise des risques en seront renforcés, ce qui permettra de limiter l’impact ou la probabilité de survenance des risques.
C’est cette boucle vertueuse, à laquelle s’ajouteront l’analyse des incidents et leurs impacts sur les processus et sur les risques, qui rend possible l’amélioration continue.
L’audit interne : à la croisée des chemins
Certains métiers s’appuient d’ailleurs étroitement sur les deux démarches. C’est le cas par exemple de l’audit interne. Les bonnes pratiques de la profession impliquent de bâtir les plans pluriannuels d’audit à partir des risques d’entreprise.
Pour chaque processus audité, les auditeurs analysent et s’appuient sur les risques pour réaliser leurs tâches. Leurs constats de dysfonctionnements et leurs recommandations permettent de faire évoluer les processus et, par la même occasion, la maîtrise des risques.
Seulement 6% des organisations sont allées au bout de la démarche en rattachant le Risk management à l’audit interne**.
Des intervenants communs
La démarche risque, tout comme la démarche processus, a besoin d’un réseau interne d’interlocuteurs pour conserver son dynamisme. Ces communautés, animées par un Manager dédié, ont des objectifs multiples :
- Formaliser les processus ou les risques en étant au plus près de ces derniers,
- Surveiller la bonne application des processus ou des risques identifiés,
- Remonter les informations nécessaires à la gouvernance, que ce soit en termes d’amélioration de processus ou d’évolution des plans d’actions, afin de de mieux gérer les risques. Ces interlocuteurs doivent d’ailleurs avoir la faculté d’engager budgétairement les actions identifiées !
- être le relais méthodologique et diffuser la culture risques ou processus au sein des équipes.
Pilotes de processus et propriétaires des risques ?
Les communautés processus et risques doivent faire appel aux mêmes interlocuteurs. En d’autres termes, les pilotes de processus devraient également être les propriétaires des risques liés. En s’appuyant sur les deux démarches, ils seront plus solides pour repenser leurs fonctionnements, justifier des investissements nécessaires, sensibiliser leurs équipes dans une démarche cohérente.
Si tout cela fait sens, on se heurte pourtant à de nouvelles difficultés : qui nommer pilote ?
Rentrer dans une démarche de gestion de risque ou de processus soulève systématiquement des interrogations sur l’organisation en place. Les difficultés pour identifier le bon interlocuteur révèlent souvent des trous dans l’organisation ou, a minima, des zones de flou.
L’exemple le plus flagrant concerne les processus transverses. Faut-il alors choisir comme pilote un groupe de travail ou arbitrairement un des intervenants identifiés, s’appuyer sur un organigramme fonctionnel ou hiérarchique ?
Des questions dont les DRH se saisissent parfois, ne serait-ce que pour mettre à jour les fiches fonctions.
Directions Qualité, grandes gagnantes de la convergence ?
Et les managers dédiés aux risques ou processus dans tout cela ? Là encore, la convergence a du sens. N’avoir qu’un seul et unique interlocuteur permet de gagner en cohérence et en coût pour l’entreprise !
Afin d’obtenir les informations nécessaires aux démarches, il est obligatoirement rattaché à un haut niveau de l’organigramme. Il devient alors l’oreille attentive de la gouvernance et a accès aux informations stratégiques :
- les risques et les faiblesses de l’entreprise ;
- les projets d’organisation ou de réorganisation qui impactent les processus ;
- les projets de fusion-acquisition : intervention en amont des démarches ou en aval pour faciliter les synergies.
Le poste de Manager processus et risques permet d’être un acteur à la fois visible et exposé dans l’organisation. Il devient ainsi un rôle très convoité.
En intégrant la gestion de risques, l’ISO 9001:2015 offre tous les arguments aux directions Qualité pour prendre en charge les deux démarches. Et quand on sait que 46 % des directions Qualité souffrent du manque de cohérence entre Stratégie, Management Global et Management Qualité, elles ont tout à y gagner.
Les directions Qualité sauront-elles saisir cette ultime opportunité pour retrouver une place de choix dans l’organisation ? Il faudra en tout cas aller vite et argumenter, car d’autres Directions ont quant à elles bien assimilé ces enjeux !
Sources :
*Panorama 2013 du Business Process Management, Ernst & Young
** Baromètre risk management 2015, AMRAE