Outil indispensable de la gestion des risques en entreprise, la cartographie permet notamment d’identifier les vulnérabilités d’une entreprise et d’évaluer l’efficacité des moyens mis en œuvre pour les pallier. Or les risques sont multiples et évolutifs, ce qui suppose à la fois la mise en place d’une pluralité de « cartes » et leur révision/évolution régulière. Pas si simple, dès lors, d’assurer une mise en conformité effective et l’implication de toutes les parties prenantes...
La Direction juridique de Total a mis en place une solution globale pour répondre à cette problématique. Jean-Guy Mahaud, directeur Conformité, Gouvernance & Digital chez Total Marketing Services partage avec nous son retour d’expérience.

Pour répondre à quel besoin avez-vous créé la Risk Management Platform (RMP) ?

Jean-Guy Mahaud : Il est de plus en plus courant de réaliser des cartographies de risques en entreprise. Quelle que soit la nature des risques (juridique, conformité, HSE, droits humains, etc.), ces cartographies ont pour objet de les identifier et de les évaluer pour en améliorer la maîtrise. Pour autant, nous n’avons pu identifier sur le marché de solution capable de gérer de manière dynamique et transverse une pluralité de cartographies de risques. Notre souhait était en effet de disposer d’une plateforme permettant, d’une part, de formaliser les cartographies existantes pour sensibiliser nos collègues de filiales à l’existence de certains risques et, d’autre part, de partager avec eux les instruments de traitement correspondants.

Au-delà de cette approche « siège » (top-down) nous souhaitions également donner la possibilité à nos filiales de réaliser leurs propres cartographies de risques en vue d’exploiter en central ces données de manière consolidée (bottom-up).

Avec cette plateforme, notre objectif est de disposer d’une photographie des risques correspondant à la réalité du terrain et d’améliorer ainsi la gestion stratégique de ceux-ci. Dans cette perspective, des tableaux de bord sont prévus pour indiquer l’état d’avancement des campagnes de cartographies de risques ainsi que l’évaluation pondérée de ceux-ci ou encore la réalisation des plans d’actions de remédiation.

En quoi est-ce indispensable dans votre secteur d’activité/pour votre société ?

Jean-Guy Mahaud : Nous opérons nos activités dans des environnements règlementaires particulièrement complexes, souvent en pleine mutation. Dans ces conditions, nous devons disposer de solutions permettant d’identifier et d’évaluer rapidement les risques émergents afin de les partager avec l’ensemble des parties prenantes concernées.

Ainsi, notre plateforme RMP permet à un utilisateur de filiale de proposer la création d’un nouveau risque qui serait détecté au niveau local. Les autres utilisateurs recevant alors une notification les invitant à évaluer ce nouveau risque pour leurs filiales respectives. Au niveau du siège, nous gagnons ainsi en réactivité et renforçons notre démarche sensibilisation et de gestion proactive des risques.

L’écueil que nous souhaitions éviter est celui consistant à conduire un exercice très ponctuel de cartographie des risques, quelque peu figé, et réservé à quelques initiés. Permettre aux entités opérationnelles locales de jouer un rôle actif dans la gestion de leurs risques est l’ambition principale de la plateforme RMP.

Comment la plateforme fonctionne-t-elle ?

Jean-Guy Mahaud : En développant cette plateforme, nous avons délibérément mis l’accent sur le caractère convivial de l’interface, conscients que nous n’atteindrions nos objectifs qu’en la rendant utilisable par le plus grand nombre et pas seulement par un groupe de spécialistes.

Selon le profil de l’utilisateur et les droits qui lui sont accordés, un catalogue de risques est proposé. En quelques clics et selon des référentiels et barèmes communs, les utilisateurs peuvent ainsi évaluer le niveau et la nature de l’impact associé à un risque, son niveau d’occurrence ainsi que le niveau de maîtrise. Chaque risque, pour une entité donnée, est quantifié de manière brute et nette (c’est-à-dire après prise en compte du niveau de maîtrise). La cartographie prend alors diverses formes graphiques dont les couleurs indiquent le niveau net des risques.

Chaque risque fait l’objet d’une fiche décrivant sa nature, les situations dans lesquelles il peut se produire (scenarii) ainsi que ses conséquences potentielles. Mais plus important encore, ces fiches de risques englobent les instruments de traitement (guides, contrats-types, normes internes, etc.) et précisent les instruments en cours de développement.

Enfin, la plateforme offre la possibilité à chaque utilisateur de constituer son propre plan d’actions sur la base de suggestions qui lui sont faites et d’ajouter à ce plan les autres initiatives qu’il entend mettre en oeuvre.

Cette plateforme peut être utilisée par tous les métiers ; elle est universelle dans la mesure où nous pouvons y créer tous types de matrices ou modèles de cartographies de risques. Chacun de ces modèles peut répondre à une méthodologie propre.

Comment avez-vous géré le projet en interne ? Quelles sont les étapes à ne pas manquer pour mettre en place un tel outil ?

Jean-Guy Mahaud : C’est une excellente question ! Nous avons choisi de recourir à la méthodologie Agile afin d’éviter d’avoir à rédiger un cahier des charges. En effet, en matière de développement, les cahiers des charges s’avèrent souvent contraignants car ils figent les fonctionnalités dès le début du projet.
Or, il importe de pouvoir laisser libre cours aux idées nouvelles tout au long du développement de la solution. Le choix a donc été fait de sélectionner une agence web capable de développer une plateforme en mode SaaS sur la base de la méthodologie Agile. Cette approche bouleverse la manière de conduire les projets et de concevoir nos outils.

Au début du projet RMP, l’exercice dit de Story map, a consisté à imaginer toutes les fonctionnalités de la plateforme puis à les ordonner par thématique et niveau de priorité. Il nous a ainsi été possible de définir les fonctionnalités que comprendrait notre minimum viable product (MVP), c’est-à-dire la première version de la plateforme mise en production. Nous avons ensuite travaillé à l’élaboration des versions successives de RMP que nous publions de manière transparente pour les utilisateurs.

L’intérêt de cette méthodologie est qu’elle pousse le product owner (la direction juridique en l’espèce) à faire des choix tout au long de la vie du projet quant aux fonctionnalités les plus importantes et, ce faisant, à adapter constamment la feuille de route. Nous sommes en effet en mesure de développer et mettre en oeuvre très rapidement une fonctionnalité nouvelle jugée prioritaire.

Avez-vous rencontré des réticences ou difficultés particulières pour le mettre en place ? Le cas échéant, comment les avez-vous levées ?

Jean-Guy Mahaud : Selon moi, la principale difficulté fut le temps que nous pouvions consacrer à ce projet. En effet, la méthodologie Agile implique fortement les équipes qui, non seulement déterminent les orientations du projet à chaque « Sprint », mais doivent aussi réceptionner et tester à intervalles réguliers les parties développées par le prestataire.

Dans ce cadre, nous avons pu bénéficier de l’apport d’un Chef de projet informatique, poste que nous avons créé au sein de notre direction Juridique afin de superviser l’ensemble de nos projets de transformation digitale, dont RMP fait partie. Ce collaborateur, expert IT, assure l’interface tant avec les prestataires externes qu’avec les fonctions internes. Il nous apporte une aide précieuse au regard du temps ainsi libéré mais aussi et surtout de l’expertise technique apportée.

Par ailleurs, le succès de la plateforme implique nécessairement une gestion effective du changement, c’est-à-dire un accompagnement étroit des utilisateurs au moment du déploiement. En d’autres termes, des supports de communication (tutoriels, guides, etc.) doivent aider à la prise en main et expliciter la finalité de la solution. Cette finalité consiste, pour le Groupe, dans son ensemble, à appréhender les risques de manière préventive et à les gérer efficacement. Cela passe par leur hiérarchisation de façon à pouvoir à allouer les ressources là où les risques sont les plus sensibles.

Quel est le retour des utilisateurs ? Comment les collaborateurs se sont-ils appropriés l’outil ?

Jean-Guy Mahaud : Après une année de développement, nous disposons d’une version très aboutie de la plateforme déjà utilisée par nos bêta testeurs internes. Les premiers retours sont extrêmement positifs, notamment en raison de la possibilité ainsi donnée à nos collègues en filiales de prendre une part active dans l’évaluation et la gestion des risques. Cela matérialise l’importance de leur rôle et accroît considérablement leur empowerment.

Pour ce qui est des fonctions support du siège, la volonté est de disposer d’une meilleure compréhension de la répartition et de la magnitude des risques à travers le monde. Ces informations peuvent s’avérer précieuses car elles permettront potentiellement à des experts du siège de venir en aide à une filiale ayant évalué un risque à un niveau préoccupant. La force de la plateforme RMP est ainsi de renforcer l’assistance et la solidarité existant entre les fonctions centrales et les filiales locales.

En conclusion, nous sommes convaincus qu’assurer une conformité effective aux différentes réglementations applicables nécessite de la part des entreprises de disposer des solutions technologiques adéquates. De ce point de vue, Risk Management Platform répond à un besoin de plus en plus répandu.

Propos recueillis par A. Dorange Rédaction du Village de la Justice