industrialise sa gestion des risques avec MEGA Principaux objectifs Industrialiser l évaluation, le suivi et le contrôle des risques opérationnels. Disposer d un référentiel unique d informations fiables, cohérentes et aisément disponibles. Renforcer la sensibilisation aux risques et responsabiliser les équipes. Optimiser les processus de gestion des risques et en réduire les coûts. À propos de est une enseigne reconnue du commerce de détail. Le Groupe, qui existe depuis 1925, exerce des activités de distribution alimentaire et non alimentaire en Belgique, en France et au Luxembourg. Parmi les supermarchés de proximité de l entreprise figurent les magasins, Okay et Bio-Planet. Le Groupe fournit également des produits alimentaires aux hôpitaux, aux restaurants d entreprise et aux entreprises de restauration, vend du carburant avec DATS24 et propose des solutions d impression et de gestion de documents via Symeta. Le Groupe emploie plus de 25 000 personnes et réalise un chiffre d affaires annuel de plus de 7,8 milliards d euros. Le Groupe, qui détient en Europe occidentale près de 900 supermarchés de proximité, a lancé un plan ambitieux et novateur visant à mieux identifier et gérer ses risques. Les outils bureautiques ayant montré leurs limites face à un programme de gestion des risques d envergure, s est tourné vers MEGA et son offre de Gouvernance, Risques et Conformité (GRC), pour renforcer sa capacité d évaluation, de suivi et de contrôle des risques. Une industrialisation de la gestion des risques nécessaire face à la croissance Le groupe est en constante progression, à la fois par sa croissance et par le développement de nouvelles activités. L augmentation du nombre de collaborateurs, conséquence de cet essor, a rendu indispensable le stockage des principales informations liées aux risques dans un référentiel unique. L équipe de gestion des risques a donc recommandé de changer d approche et le groupe a défini pour son nouveau programme de gestion des risques (ERM Enterprise Risk Management) les grands objectifs suivants : préserver l entreprise des risques inutiles, veiller à ce que l information sur les risques soit actualisée et aisément disponible, éviter que la gestion des données sur les risques ne devienne trop lourde et trop coûteuse. Pour atteindre ces objectifs, a décidé de mettre en œuvre un programme de gestion des risques systématique et standardisé, en commençant par ses activités en Belgique et en France. Des outils bureautiques insuffisants pour une gestion des risques efficace a toujours été attentif à la gestion des risques, mais gérait cette activité à l aide des outils bureautiques disponibles. Excel 1
Le recours aux outils bureautiques pour gérer les informations sur les risques n assurait pas une sécurité et une traçabilité suffisantes pour les plus de 1 100 risques et 150 types de risques rencontrés par l entreprise. Hilde Van Soom, était en effet largement utilisé dans le secteur de l industrie comme premier outil de stockage des informations dans le cadre d un programme GRC (Gouvernance, Risques, Conformité). L approche GRC gagnant en maturité, le groupe a alors constaté qu il avait besoin d une autre méthode et de meilleurs outils pour collecter, évaluer et gérer les risques et a cherché une solution logicielle automatisée plus sophistiquée, plus fiable et offrant plus de fonctionnalités. Définition d une nouvelle approche de gestion des risques L équipe a commencé par définir une nouvelle approche pour la gestion de ses risques, avec comme fil rouge obtenir une meilleure visibilité quant aux principaux risques auxquels l entreprise est confrontée. souhaitait un programme qui sensibilise et responsabilise les collaborateurs aux risques à tous les niveaux de l organisation. L équipe a ainsi élaboré un plan s appuyant sur la méthodologie ERM reconnue issue du référentiel intégré de contrôle interne COSO II. Le groupe entendait mettre en œuvre un programme complet prenant en charge : l identification des risques, leur évaluation, les réponses et actions à mettre en place, le contrôle. Les méthodes employées précédemment ne permettaient de traiter que les deux premières étapes et n autorisaient pas de transférer la propriété d un risque au responsable métier, ce qui est pourtant indispensable à la réussite du programme. Recherche d une solution de gestion des risques s est donc mis en quête d une solution de gestion des risques capable de restituer des informations complexes et qui puisse s adapter à ses besoins spécifiques. Le groupe a défini un certain nombre de critères pour cette solution ERM : facile d utilisation, permettant de s adapter aux processus ERM de la société, contenant un référentiel des 2
Il était très important de gagner le soutien et l adhésion des collaborateurs de l entreprise, plutôt que de laisser un petit nombre de responsables imposer un programme de gestion des risques depuis leur tour d ivoire. risques, fournissant des processus de workflow pour le suivi de contrôle des risques ainsi que des rapports complets et détaillés et compatibles avec l environnement informatique de. La solution devait également permettre un travail collaboratif avec des fonctionnalités concernant les problèmes de confidentialité, les utilisateurs multiples, la responsabilité des propriétaires de risques, mais aussi la gestion de versions notamment. Partant des solutions reconnues par les analystes, en particulier Forrester Research et Gartner, Inc., a lancé un processus de sélection exigeant pour trouver la solution la plus efficace du marché. Par ailleurs, l équipe informatique de utilisait déjà MEGA pour la gestion de ses processus IT. L équipe de gestion des risques a été très intéressée par l approche intégrée de MEGA qui associe les pratiques de la GRC et de l architecture d entreprise, rendant cette solution idéale pour les sociétés ayant des besoins dans ces deux domaines. À l issue du processus d évaluation, la solution ERM de MEGA a été retenue, celle-ci remplissant tous les critères requis et étant compatible avec les programmes informatiques déjà en place dans l entreprise. La mise en œuvre du projet par Phase 1 : analyse métier Des ateliers de travail ont été organisés pour : établir une vue d ensemble détaillée du processus de gestion des risques existant chez, analyser la convergence entre les besoins métier et les fonctionnalités standards et meilleures pratiques d ERM intégrées à la solution de MEGA, étudier les workflows (notamment risques, plans d action, indicateurs et campagnes d évaluation). Ces ateliers ont permis de définir des profils d utilisateur pour les 3 gestionnaires de risques, les 20 coordinateurs de risques qui évaluent et valident les risques, et les 200 responsables de risques sur le terrain. Phase 2 : configuration et migration des données Une fois les spécifications validées par, les consultants de MEGA ont configuré de l application. En parallèle, les gestionnaires de risques de ont préparé les fichiers de 3
voulions une solution qui réponde Nous à nos multiples exigences, que nous puissions déployer à l échelle de toute l entreprise et dont les propriétaires de risques puissent se servir pour maintenir et actualiser les informations liées aux risques pour leur propre usage. reprise de données en collaboration avec MEGA, afin de transférer toutes les données de risques existantes, stockées auparavant dans les outils bureautiques, vers l application MEGA. Phase 3 : validation et essais Après la migration de l ensemble des données, l application a été testée et validée par la Direction des risques sur un périmètre pilote. Les résultats étaient visualisables sous forme de rapports et de tableaux de bord, donnant ainsi un meilleur aperçu des décisions requises à l avenir. Phase 4 : formation des utilisateurs finaux Des formations sur l utilisation de la solution MEGA ont été organisées, spécialement conçues pour faciliter la mise en œuvre efficace du programme ERM. Phase 5 : déploiement L entreprise a divisé les activités du groupe en 25 sections. Pour chacune d elles, il s agissait de parcourir les quatre étapes du processus, ce qui a duré entre six et neuf mois par section. Les trois membres de l équipe de gestion des risques de ont initié les travaux dans chaque section, plusieurs étant traitées en parallèle. À mesure de l avancée du programme, les deux premières étapes de l identification des risques, puis de leur évaluation, ont été menées à bien pour la plupart des sections. L étape des réponses et actions à mettre en oeuvre a également été réalisée pour de nombreuses sections, qui en sont actuellement à la phase de suivi. L équipe de gestion des risques présente un rapport au comité exécutif et au conseil d administration tous les trimestres. Peu après le lancement du programme, les demandes d analyse des risques liées aux projets opérationnels du groupe ont commencé à affluer, témoignant de la sensibilisation aux risques déjà obtenue dans l entreprise. MEGA, un atout précieux pour le programme ERM Avant que l entreprise n adopte cette démarche systématique, chaque activité gérait ses risques séparément, sans méthode commune. L équipe peut à présent comparer les risques 4
ce programme de cinq ans, nous Durant n avons jamais pris de retard. L outil MEGA a été décisif pour nous aider à respecter notre calendrier. rencontrés dans les différentes activités et prendre de meilleures décisions à la lumière d un contexte historique ou comparatif, gagnant ainsi en efficacité. La solution de gestion des risques de MEGA a ainsi aidé à : définir les attributions et les responsabilités, permettant aux propriétaires des risques d élaborer et de superviser des plans d action, de réaliser des analyses plus complexes et d utiliser des approches différentes, d évaluer et analyser plus efficacement les risques grâce à ses fonctionnalités automatisées et personnalisables, d aller bien au-delà des possibilités qu offraient auparavant les outils bureautiques. Aujourd hui, chaque propriétaire de risques a une vision claire de ses responsabilités en matière de gestion des risques, car la solution de MEGA lui apporte une parfaite connaissance des évaluations et des plans d action. Elle permet aussi aux coordinateurs de risques de produire des rapports de haut niveau, pour toute une activité ou pour la direction. a pu sécuriser ses données et mieux comprendre le processus de gestion des risques grâce aux workflows prédéfinis lui permettant d identifier, d évaluer et de traiter les risques. Informé à la minute près par des tableaux de bord, le groupe peut désormais prendre de meilleures décisions pour gérer les risques ayant un fort taux de probabilité ou susceptibles d avoir des conséquences importantes sur l entreprise. L équipe de a félicité les consultants de MEGA pour leur grande réactivité et l excellence de leurs services. Leur aide a permis à l entreprise de tenir le calendrier qu elle s était fixée et d obtenir un large soutien en interne. www.mega.com MEGA Juillet 2013 5