Système de management intégré pour le secteur des services : l expérience d une banque russe

Transcription

1 Système de management intégré pour le secteur des services : l expérience d une banque russe par Valentin Nikonov Cet article présente un modèle de système de management intégré pour les entreprises de services qui englobe la qualité, la sécurité de l information et la gestion de projet. Il décrit l application de cette méthodologie dans la banque Bank24.ru, première institution financière certifiée ISO 9001:2000 en Russie. Valentin Nikonov est spécialiste de la gestion de projet, agréé par l International Project Management Association, et auditeur ISO 9001:2000 certifié. Spécialiste principal du consultant «Growth Trajectory» sis à Iekaterinbourg, Russie, il est responsable de projets de systèmes de management intégrés (SMI). Valentin Nikonov participe aussi aux activités du groupe de travail WP.6 de la Commission économique pour l Europe des Nations Unies (CEE-ONU). Le WP.6 a pour objectif la coopération en matière de réglementation et les politiques de normalisation. Dans ses travaux, ce groupe a examiné des questions associées à la qualité, y compris l élaboration et la mise en œuvre de SMI. valentin@traectoria.ru Web Depuis 2003, Bank24.ru connaît une croissance importante et son système de management intégré est considéré comme un facteur clé du succès. Le développement du secteur des services est essentiel pour la réussite de l économie russe. Il est considéré comme l un des objectifs clés à atteindre pour passer d une économie axée sur les ressources à une économie moins vulnérable, axée sur les connaissances. Les représentants du monde économique et de la gouvernance publique dans le monde sont tous d accord sur ce point. Dans les débats sur la manière d opérer un tel déplacement, le sujet des systèmes de management intégré (SMI) revient régulièrement. Un SMI est un magnifique outil pour aider les organismes et entreprises à atteindre leurs objectifs stratégiques et une croissance durable de façon systématique, quel que soit leur domaine d activité. La cohérence du développement d entreprise dans une entreprise de services dépend du niveau de son système de management de ISO Management Systems novembre-décembre

2 la qualité (SMQ), de son système de gestion de sécurité de l information (SGSI) et de ses processus de gestion des projets. Dans cet article, nous décrirons une démarche adoptée pour construire un SMI basé sur des normes pour le SMQ, le SGSI et la gestion de projet, puis nous rendrons compte de la mise en œuvre réussie d un SMI à Bank24.ru, la première institution financière en Russie à avoir implanté un système intégré et obtenu une certification ISO 9001:2000. Bank24.ru, première institution financière certifiée ISO 9001:2000 en Russie. Les objectifs La mise en œuvre d un SMI dans un organisme est un projet. Or, une règle de base de la théorie de la gestion de projet est que tout projet se définit par ses objectifs. Les Normes internationales relatives aux systèmes de management peuvent être Figure 1 Objectifs de transformation appliquées différemment pour des finalités différentes. L organisme peut avoir pour objectif une conformité formelle à la norme pour recevoir un certificat. En revanche, s il cherche des outils pour le développement des activités, les normes seront très utiles mais la perspective est différente et la Ce dont nous avons besoin Les meilleures pratiques du monde norme devrait être appliquée en conséquence. Lorsque, en 2003, deux hommes d affaires russes, Sergey Lapshin et Boris Dyakonov, ont acquis UralContactBank, petite banque d Iekaterinbourg comptant 48 employés et de maigres actifs, ils avaient une vision très claire de ce qu ils voulaient faire. Le processus d amélioration continue Ils voulaient transformer en trois ans la banque en une institution fonctionnant 24 heures sur 24, 7 jours sur 7, avec une qualité élevée du service bancaire, basée sur une informatique de pointe. Bien entendu, cela impliquait une croissance substantielle de l entreprise. La banque fut rebaptisée Bank24. ru ( Le développement du secteur des services est essentiel pour la réussite de l économie russe 8. Améliorer en permanence la compétitivité 7. Réaliser le développement durable 6. Avoir des processus cohérents Risques opérationnels Risques stratégiques Risques en sécurité de l information 5. Gérer systématiquement les risques Les objectifs d application d un SMI 1. Réaliser la cohérence des activités et une qualité stable 2. Rendre possible la «mise à l échelle» de l entreprise 3. Faciliter la duplication des technologies (pour application à de nouveaux domaines) 4. Réaliser la transparence des activités De toute évidence, pour appliquer sa stratégie, les objectifs indiqués dans la Figure 1 devaient être réalisés : Tous les facteurs énumérés dans la Figure 1 influent fortement sur la performance économique. Pour réaliser ces objectifs, un système de management intégré basé sur trois normes a été envisagé : ISO 9001:2000 (management de la qualité), ISO/CEI 27001:2005 (gestion de sécurité de l information) et OPM3 (Modèle de maturité organisationnelle en gestion de projet développé par le Project Management Institute). Nous 28 ISO Management Systems novembre-décembre 2006

3 décrirons dans cet article comment ces normes ont été appliquées avec succès. Le système central L expression «système de management intégré» présuppose qu un seul système de management fonctionne dans l organisme. Trois systèmes distincts fonctionnant indépendamment ne constituent pas un SMI ils demeurent essentiellement des systèmes indépendants. Une démarche possible pour construire un SMI consiste à créer d abord un système de management de base (ISO 9001:2000 peut servir à cette fin), puis d y intégrer les processus d autres systèmes (par exemple pour la gestion de sécurité de l information et la gestion de projet). Processus de planification stratégique Figure 2 Processus de planification stratégique Si nous appliquons les exigences d ISO 9001:2000 en un sens plus large que ce n est le cas dans la pratique normale, un SMQ pour les entreprises de services peut servir de système de management central, intégrant les sous-systèmes suivants (les paragraphes correspondants d ISO 9001:2000 sont indiqués entre parenthèses) : 1. Système de gestion de projet (7.3 Conception et développement). 2. Système de gestion des savoirs d entreprise (4.2 Exigences relatives à la documentation). 3. Système de gestion des rapports et enregistrements (4.2.4 Maîtrise des enregistrements). 4. Système de management stratégique (5.3 Politique qualité, 5.4 Planification, 5.6 Revue de direction). 5. Système de gestion des risques (8.5.2 Action corrective, Action préventive). La direction du développement de l entreprise Définir la stratégie (politique, mission) Subdivision de la stratégie Définir des objectifs mesurables «Le projet est un objectif à contrainte temporelle» Déterminer les projets à appliquer pour atteindre les objectifs 6. Système de gestion des ressources humaines (6.2 Ressources humaines). 7. Système de gestion des relations avec le client (7.2 Processus relatifs aux clients). 8. Système de gestion de l approvisionnement (7.4 Achats). Ces systèmes (ou outils) auront un effet maximal sur les performances d un organisme s ils sont appliqués sous la forme d un seul système intégré. C est pourquoi la mise en œuvre du système de management ISO 9001:2000 doit servir de base pour un SMI. Tous les processus organisationnels devraient être inclus dans le système ISO 9001:2000, condition nécessaire pour réussir la mise en œuvre d un SMI. On doit considérer que les exigences des normes spécifiques s ajoutent aux exigences d ISO 9001:2000. Infrastructure de l information Un facteur décisif de la réussite d un projet d application d ISO 9001:2000 est la création d une infrastructure de l information efficace pour étayer le système. Un SMI nécessite aussi cet élément de soutien crucial. C est en particulier le cas pour les entreprises de services. Les résultats des processus qu elles exploitent contiennent en général des informations (enregistrements, données et documents) et un système d information est donc nécessaire. L intranet développé par Bank24.ru est structuré suivant ISO 9001:2000. Le site, qui contient la documentation de l entreprise, garantit que les employés ont accès aux informations nécessaires. De plus, la page d accueil contient des liens vers des sites dédiés aux processus de l entreprise. L objectif principal de l infrastructure de l information se dégage clairement : pour chaque processus, nous pouvons développer un site où toutes les informations requises sont placées pour garantir l efficacité et l efficience du processus. Chaque site contient au minimum : 1. La description du processus (procédure documentée). 2. Les éléments d entrée. 3. Les éléments de sortie (dans les entreprises de service, il s agit en général d enregistrements). Le développement de l infrastructure de l information est une condition nécessaire pour construire un SMI efficace. Il rend le système visible et aide à maintenir son intégrité, tout en améliorant la performance économique de l entreprise. Gestion de projet Pour démontrer la nécessité d intégrer le système de gestion de projet dans un système de management général, considérons le processus de planification stratégique, représenté à la Figure 2 : Tout organisme qui recherche une conformité aux exigences d ISO 9001:2000 doit définir une stratégie et des objectifs (paragraphes 5.3 Politique qualité et Objectifs qualité). Nous pouvons considérer que tout objectif que l organisme s est fixé est un objectif qualité selon l approche décrite ci-dessus. Comme l organisme doit mettre en place des projets pour atteindre ses objectifs, la prochaine étape consiste à définir les projets. Pour garantir la réalisation efficace de l ensemble des projets, il faut examiner plusieurs questions : la constitution d un ensemble de projets, la détermination des processus par lesquels ils sont gérés, la répartition ISO Management Systems novembre-décembre

4 des ressources entre les divers projets, etc. Il est possible de résoudre toutes ces questions dans un système de gestion de projet, qui sera conçu conformément aux recommandations du Modèle de maturité organisationnelle en gestion de projet. L organisme qui a appliqué une planification stratégique (et nous présupposons que tout organisme intéressé au développement durable adopte cette démarche) gère un ensemble de projets. Les meilleures pratiques existant actuellement dans le monde sont incorporées dans les normes et méthodologies internationales développées par l International Project Management Association (sise à Zurich, Suisse et le Project Management Institute (sis en Pennsylvanie, États- Unis Les exigences de ces normes correspondent à celles d ISO 9001:2000 et le système de gestion de projet peut donc être aisément intégré à un système de management de base, garantissant ainsi le développement et la croissance durables. Intégrer ISO/CEI 27001:2005 Un système de gestion de sécurité de l information (SGSI) efficace est essentiel pour la réussite économique des entreprises de services car les processus de ces dernières génèrent principalement des enregistrements, des documents et d autres types d informations. Le système de gestion décrit dans ISO/CEI 27001:2005 est basé sur une approche de gestion des risques dont le principal objectif est de garantir la confidentialité, l intégrité et la disponibilité des informations de l entreprise. Les exigences de cette norme peuvent également être traitées comme un complément à ISO 9001:2000. On peut considérer la mise en œuvre d un SMQ comme une solution pour atténuer les risques opérationnels d un organisme. Les risques en sécurité de l information, traités dans ISO/CEI 27001:2005 avec une grande précision, sont des exemples de risques opérationnels. Un système de management intégré (SMI) est un magnifique outil pour aider les organismes et entreprises à atteindre leurs objectifs stratégiques C est pourquoi le SGSI est intégrable à un système ISO 9001:2000 au même titre qu un système de gestion de projet. Ainsi, pour créer un SMI, l organisme met en œuvre, avec les processus exigés par ISO 9001:2000, des processus répondant aux exigences d ISO/CEI 27001:2005. Ces processus sont gérés de la même manière que d autres processus exploités par l organisme. En conséquence des actions décrites ci-dessus, nous obtenons un SMI dont le cœur est constitué de processus satisfaisant les exigences d ISO 9001:2000, intégrés avec les processus nécessaires pour assurer la gestion efficace des projets et la gestion de sécurité de l information. Tous ces processus fonctionnent en un seul système, ce qui implique que les outils décrits dans cet article sont appliqués et rendent possible la réalisation, par un organisme, du développement durable, de l atténuation des risques, de la cohérence des processus, de la transparence et de nombreux autres objectifs nécessaires pour garantir la réussite d une entreprise. Bank24.ru La méthodologie de mise en œuvre d un SMI que nous venons de décrire a servi de feuille de route pour le SMI de Bank24.ru. Depuis 2003, l entreprise connaît une croissance substantielle : multiplication par cinq de ses actifs et par 10 de son personnel. La mise en œuvre du SMI a été un facteur décisif de cette réussite. Le système de management ISO 9001:2000 doit servir de base pour un SMI Un projet de SMQ basé sur ISO 9001:2000 a été lancé à Bank24. ru en La banque est ainsi devenue, en septembre 2003, la première institution financière en Russie à obtenir la certification ISO 9001:2000. Matrice des responsabilités La mise en œuvre du SMQ a commencé par l identification des processus. Près de 75 processus ont été identifiés et reportés dans une «matrice des responsabilités». La matrice indique qui est responsable de chaque processus et qui prend part à sa réalisation. Cette première étape est nécessaire pour réaliser la transparence. Dans le même temps, la matrice donne une claire représentation de la répartition des responsabilités au sein de l entreprise. L identification des processus était également nécessaire pour «mettre à l échelle» l entreprise de façon à pouvoir gérer une croissance importante sans perte de maîtrise. Elle a aussi facilité la duplication des technologies, car toutes les technologies de réalisation des processus étaient décrites dans les procédures documentées. Ces dernières contiennent également les modèles de tous les enregistrements utilisés dans un processus. La matrice des responsabilités sert maintenant de navigateur du système de gestion des processus elle comporte tous les liens aux procédures documentées actives. Un intranet a été développé en soutien au SMQ. Il contient quantité d informations : actualités concernant l entreprise, documents, articles, etc. Il comporte également un lien vers la matrice des responsabilités, à laquelle le personnel a donc facilement accès. Dans le projet de mise en œuvre du SMI, une tâche importante a été la définition d une politique et d objectifs de l entreprise. Dans les deux documents où ils sont présentés, les actionnaires font part de leur vision de l avenir de la banque et décrivent les projets à réaliser pour que cette vision devienne réalité. C est à ce stade de développement que le système de gestion de projet a été mis en œuvre. Les processus y relatifs ont été développés, ajoutés à la matrice des responsabilités puis docu- 30 ISO Management Systems novembre-décembre 2006

5 mentés et appliqués comme les autres processus de l entreprise. Gestion de projet Les normes relatives à la gestion de projet nous ont considérablement aidés. La mise en œuvre du système de gestion des projets a créé les outils pour une réalisation cohérente des projets, nécessaire pour la croissance durable. Aujourd hui, environ 50 projets couvrant différents aspects des activités sont mis en application chaque année à Bank24.ru. Non-conformités L application du processus de gestion des actions correctives et préventives a également été une réussite. Il est organisé comme suit : sur l intranet, un champ permet à chaque employé d enregistrer une nonconformité (réelle ou potentielle) qu il ou elle a observée. La non-conformité est traitée pour en éliminer la cause. Ce processus est étayé par un système d information pratique et convivial. Depuis l application de ce processus, environ risques (nous pouvons traiter toute non-conformité, réelle ou potentielle, comme un risque opérationnel) ont été enregistrés et traités, ce qui a conduit à un niveau de qualité supérieur et à une gestion systématique des risques opérationnels. Cette approche des actions correctives et préventives a aussi aidé à créer une culture d entreprise axée sur la qualité tous les employés savent qu ils peuvent participer à l amélioration de la qualité et au développement de l entreprise. Audits internes Le processus d audit interne de la banque représente aussi un instrument utile pour détecter les non-conformités et les risques. Il est conçu pour encourager le personnel à voir dans les audits internes des activités qui permettent une analyse systématique des processus auxquels il participe. Aussi le personnel n a-t-il aucune objection à participer aux audits internes. De plus, ces derniers sont lancés par les employés eux-mêmes. L intranet développé par Bank24.ru est structuré selon ISO 9001:2000. Un intranet a été développé en soutien au SMQ «Remboursement» Pour appliquer le paragraphe 8.3 d ISO 9001:2000 Maîtrise du produit non conforme, Bank24.ru a lancé une procédure dite de «remboursement». En résumé, elle fonctionne de la manière suivante : la banque dispose de normes qualité pour chaque service qu elle fournit ; si l un d entre eux ne satisfait pas aux exigences de la norme, le prix ISO Management Systems novembre-décembre

6 du service est remboursé au client. Ce processus donne au client confiance dans le fait que Bank24.ru garantit la qualité de ses services. Orientation client L analyse des retours d information du client fonctionne également bien. Les retours et les exigences des clients sont régulièrement analysés. Le processus est associé aux actions correctives en cas de réclamation, une non-conformité est enregistrée. Il aide à appliquer l approche dite de l «orientation client». Le système ISO 9001:2000 a permis à la direction de la banque de mettre en place un cadre pour la gestion des processus. Une technologie de la gestion des processus a été mise au point et a facilité l adjonction des processus nécessaires pour exploiter le système de gestion de projet. ISO/CEI La banque a commencé la mise en œuvre de son SGSI. Les processus nécessaires pour la sécurité de l information sont développés, décrits dans des procédures documentées, puis appliqués. Ce projet sera achevé au début de Bank24.ru pourrait bien devenir la première banque à obtenir une certification ISO/CEI 27001:2005 en Russie. Conclusion La mise en œuvre d un système de management intégré n est pas un projet facile. Il exige des ressources et l engagement de la direction. Il est difficile de calculer le retour sur investissement d un tel projet. Mais si les normes sont bien utilisées, il peut être considérable. Les objectifs réalisables par l intermédiaire d un projet de système de management intégré ont une influence forte et positive sur les performances économiques. L expérience de Bank24.ru le prouve. Les objectifs réalisables par l intermédiaire d un SMI ont une influence forte sur les performances économiques TSR 32 ISO Management Systems novembre-décembre 2006