« Je souhaite disposer d’un dashboard régulier, présentant l’état fiable de mes risques pour chaque processus, avant survenance de dysfonctionnements ».
Propos recueillis par TNP Consultants auprès d’une grande direction d’un organisme d’assurance.
Sur un marché toujours en mutation et face au durcissement ininterrompu des obligations réglementaires, les acteurs de l’assurance et de la protection sociale doivent régulièrement repenser et faire évoluer leurs modèles. Dans ce contexte, il devient nécessaire de disposer, en continu, d’une vision et d’une maîtrise fiables, consolidées et dynamiques des risques opérationnels.
LA FONCTION « CONTRÔLE INTERNE » DOIT SE MODERNISER ET VISER À UNE APPROCHE DYNAMIQUE
Le contrôle interne, répondant aux exigences de sécurité financière, de conformité « raisonnable » de l’activité, mais aussi directement de différents cadres réglementaires (Solvabilité 2, LCB-FT, DDA, RGPD, Eckert, Anti-fraude, …) a été porté par plusieurs démarches reconnues (de COSO à ISAE 3402) et méthodologies internes, orientées vers l’exécution de contrôles récurrents et se voulant « rassurants », du moins en formalisme.
Or il devient crucial de « moderniser » un dispositif qui :
- Ne peut plus consister à positionner une série de contrôles récurrents, statiques et déconnectés, face à une exposition aux risques en perpétuelle mouvance ;
- Ne doit plus être pensé uniquement à travers des contrôles, mais à travers d’actions de maîtrise des risques (comprenant des contrôles) ;
- Doit intégrer l’acte correctif et la fiabilisation : une action de contrôle ou de maîtrise n’a pas vocation seulement à détecter des anomalies mais aussi à les corriger « dans la foulée » ;
- Doit viser la sécurisation des processus mais aussi la qualité de service ;
- Nécessite une vraie connaissance des processus « métier » ;
- Doit mutualiser les actions de maîtrise par exigence : un contrôle doit pouvoir répondre à plusieurs exigences réglementaires à la fois ;
- Peut, pour une fluidité renforcée, exploiter les technologies avancées de l’automatisation, de la data ou encore de l’IA ;
- Doit permettre in fine un pilotage proactif des processus.
LA DÉMARCHE PERSUS
Sur la base de ses expertises, études et expériences, notamment auprès de plusieurs directions des risques, du contrôle interne ou encore du contrôle permanent, au sein du secteur assurance et protection sociale, le cabinet TNP Consultants a conçu et renforcé la démarche PerSuS (PerSuS = Permanent Supervision System), visant 10 principes clés et illustrée comme suit :
Maîtrise avancée des risques
Les cartographies des risques doivent reposer sur une analyse des risques à la fois avancée et de « bon sens », suivant une méthodologie structurée : approche processus, étude fine des risques (et de leurs facteurs, probabilités de survenance, impacts) inhérents et résiduels, rapprochement avec l’expertise métier et l’historique des incidents, plan d’actions de contrôle et maîtrise des risques, revue régulière de la gestion des risques pour chacun de l’ensemble des processus.
Qualité de service
Il est nécessaire de démanteler dès le départ l’idée que le contrôle permanent est « l’empêcheur » de l’activité opérationnelle (de l’avant-vente, à la relation client, en passant par la gestion cœur de métier). Un objectif majeur et structurant du dispositif est bien la qualité de la gestion et du service rendu aux clients, avec la production de KPI « Qualité » (Contrôle de la qualité des réponses transmises tous canaux, contrôle de la satisfaction, Quality monitoring étendu) et d’un ROI induit via notamment la différentiation et la fidélisation.
Maîtrise du métier
Loin de la théorie, la pertinence des contrôles et éléments de maîtrise des risques s’appuie, avant tout, sur une connaissance forte des processus métier : de l’analyse des risques, la définition des actions de maîtrise, leur suivi, jusqu’à leur réajustement, en passant par le dialogue permanent avec le terrain et la capacité à consolider un pilotage de proximité. L’acculturation du dispositif au « métier » est déterminante.
Relais opérationnels
Une direction du contrôle permanent peut largement renforcer son efficacité, via l’animation d’un réseau de relais « maîtrise des risques » sur le terrain, au sein de chaque unité de gestion. Cette animation, rythmée par des échanges réguliers, pour adapter de façon dynamique les actions de maîtrise, peut s’accompagner d’actions de communication et de sensibilisation fortes, rendant l’impact qualitatif du dispositif encore plus puissant.
Contrôles correctifs
Un contrôle ne consiste pas juste à vérifier l’activité et détecter des anomalies. Il s’agit de détecter les dysfonctionnements et les corriger dans la même séquence de tâches. La correction d’une anomalie détectée fait partie intégrante du contrôle. Ainsi, les contrôles constituent non seulement une sécurisation mais aussi et surtout une « fiabilisation » en direct des processus.
Contrôles dynamiques, pertinents et à bon escient
Il est nécessaire d’adapter en continu l’arsenal de contrôles mis en place, face à une exposition aux risques toujours mouvante. Un contrôle détectant des anomalies est à maintenir, puisque les corrigeant au passage, mais dans le juste dosage, tant il est crucial d’éviter le « sur contrôle ». Pour alléger et simplifier le dispositif, il est aussi nécessaire d’identifier les axes « multi-exigences » et de mutualiser un contrôle face à plusieurs exigences similaires, provenant de réglementations différentes.
Contrôle permanent et périodique
L’ensemble du système doit distinguer a minima :
- Un dispositif opérationnel, incluant un pilotage des risques, connecté au « terrain » par les processus et orienté « qualité de service » ;
- Une fonction de consolidation et valorisation financière des risques, visant notamment un provisionnement ajusté en fonds propres et les reportings associés (comptables, actuariels, …) ;
- Un contrôle périodique ou l’animation des audits internes et externes (CAC, ACPR, tutelles, partenaires, …) ;
- Une gouvernance des risques ou l’animation de comités exécutifs pour la maîtrise des risques.
Dimension humaine et bienveillance
Le contrôle permanent doit se débarrasser d’une certaine association au « flicage » ; même si la confiance n’exclut pas le contrôle, le dispositif doit s’arrimer à une démarche de bienveillance, le qualitatif et l’humain devant rester au centre des problématiques. Dans les métiers de l’assurance, en particulier la santé et la prévoyance, la dimension de « détresse humaine » est d’autant plus à considérer que les contrôles ne peuvent plus être opérés sans un certain tact. Ainsi, la bienveillance employée dans le dispositif de contrôle est répercutée en interne et en externe.
Actions étendues de maîtrise des risques
Au-delà des contrôles (a priori / détectifs / a posteriori, exhaustifs / sur picking, automatisé / manuels, de 1ier niveau / de 2nd niveau, croisés ou non, formalisés ou non, …), les actions de maîtrise doivent être considérées dans leur ensemble et faire partie des plans d’actions pour la totalité des processus : optimisations des procédures, formations, communication, évolutions organisationnelles, adéquation charges / ressource, évolutions SI, évolution du pilotage / du management, …
L’ensemble des éléments de maîtrise des risques doit à la fois :
- Faire l’objet d’un accompagnement et d’un suivi de mise en œuvre ;
- Être renforcé par des technologies « simplifiantes » combinant : BPM, BAM, QM, SIGR, RPA, data analytics ou encore IA / Machine Learning pour l’analyse proactive des risques.
Management anticipatif des processus
Le scoring de la criticité des risques, et de l’efficience des actions de maîtrise, ainsi que les résultats des contrôles, sont autant de données à exploiter parmi les KPI de l’entreprise, pour constituer un « smart reporting » ou, in fine, le dashboard de visualisation de l’état des risques par processus.
L’enjeu majeur du contrôle permanent « 3.0 » est de devenir un outil de management anticipatif et dynamique, couvrant tous les processus et toutes les parties prenantes, pour alimenter, le plus en amont possible, les réflexions stratégiques et opérationnelles de l’entreprise.
Le contrôle permanent, au-delà de répondre aux contraintes réglementaires, de sécuriser et fiabiliser l’activité, se renforcera encore davantage comme une fonction clé et un vecteur central et moderne de qualité de service, de proactivité et d’amélioration continue.
