< Retour

22/02/2016

Votre outil GRC est-il vraiment votre meilleur ennemi ?

Vous n’êtes pas sans constater l’énergie déployée par certains éditeurs pour vous démontrer la valeur ajoutée ou le retour sur investissement d’un outil dédié à la Gestion des Risques et la Conformité (GRC) dans l’amélioration de la Culture Risque. 
Pas une semaine sans une sollicitation par email, pas une invitation d’association professionnelle sans la présence de leur(s) logo(s), pas un évènement de ces mêmes associations sans un « village » de stands à la sortie, rappelant ainsi les pratiques de parcs d’attractions bien connus…
Mais si autant d’éditeurs s’intéressent à la GRC, c’est bien qu’ils détectent un besoin ? Et pourtant vous ne vous êtes pas encore décidés à franchir leur pas… Mais qu’en disent vos pairs ? 
 
« Le système est incapable d’intégrer nos spécificités ! »
Vos interlocuteurs vont très rapidement mentionner l’écart entre les capacités décrites (et parfois démontrées… subtilement !) en phase d’avant-vente et celles effectivement constatées durant la phase projet ou la recette métier. Pour autant, les torts en la matière sont souvent partagés. L’éditeur, pour sa propension à ne pas tenir ses engagements, mais aussi les organisations qui n’ont pas été capables de définir une gouvernance projet adaptée, surtout dans la phase d’avant-vente. Combien de projets de ce type menés par la direction informatique ? Combien de directions métiers mobilisées pour la première fois au moment des ateliers fonctionnels quand l’éditeur déploie déjà sa méthodologie standard ? 
Sans un échange préalable précis sur les fonctionnalités « standards » et « customisables » de l’outil durant la phase de sélection, l’insatisfaction des directions métiers s’inscrira dans l’ADN même du projet ! Vous aurez beau déployer toutes les techniques de communication ou de change management, elles resteront vaines. Le besoin initial n’aura pas été couvert. Encore une fois, l’éditeur est souvent la cible privilégiée. Pourtant, ce n’est pas lui qui creuse la plus grande partie du précipice. Il a au contraire tout intérêt à satisfaire au mieux les directions métiers sur le long terme s’il souhaite bénéficier de licences annuelles lucratives au regard d’un coût d’exploitation très limité.
 
« Le système n’est pas assez user-friendly! »
Quand on interroge les utilisateurs de systèmes d’information GRC, deux profils se dégagent rapidement. Tout d’abord, ceux qui sont souvent à l’origine du projet et qui vantent l’ergonomie ou les capacités d’analyse et de reporting. En face d’eux, ceux qui reprochent au système sa complexité ou son absence d’intuitivité. On retrouve ces deux profils dans l’évaluation de bon nombre de systèmes d’informations, quel que soit leur nature : ERP, systèmes de maintenance industrielle, outil de gestion de production, etc. Là encore, la vérité se situe dans la plupart des cas au milieu du gué.
Pour autant, évaluer un système GRC à la seule lumière du plaisir que son utilisation procurera chez l’utilisateur est sans nul doute s’éloigner de l’objectif initial : améliorer le niveau d’assurance interne fournit aux organes de gouvernance ! Diffuser les enjeux de conformité auprès des opérationnels ne se limite pas à la mise en place d’un outil enthousiasmant les foules (si tant est qu’on puisse le dire un jour d’un système d’information GRC !), ou à un plan de communication robuste. Il y a un préalable essentiel : disposer de référentiels, de méthodologie(s), et de compétences crédibles à leurs yeux. Comment un représentant du middle management ou d’un des dispositifs d’assurance interne peut-il soutenir le déploiement d’un tel outil si par nature le contenu est éloigné (ou même incohérent) avec la réalité opérationnelle? C’est bien à ce niveau que l’enjeu principal se situe. Un système d’information apportera au mieux quelques graphiques ou rapport plus esthétiques, mais qui ne suffiront pas à cacher longtemps des carences plus profondes au Comité Exécutif ou au Comité d’Audit.

« L’incapacité à démontrer un retour sur investissement »
Démontrer par des indicateurs la valeur ajoutée d’un tel système pendant un comité d’investissement ou une réunion budgétaire décisive, s’avère un exercice de style délicat pour bon nombre de sponsors projet.
À la différence d’autres systèmes de gestion tels les ERP qui ne nécessitent pas la construction d’un argumentaire poussé pour convaincre les plus récalcitrants à engager de lourdes dépenses, le système d’information GRC doit démontrer très tôt sa pertinence s’il veut exister !
Évidemment, ces mêmes sponsors projet commencent par reprendre les indicateurs parfois savants, mentionnés dans les plaquettes commerciales des éditeurs. Devant la difficulté (ou l’incohérence), ils décident ensuite d’organiser des brainstormings avec les responsables des directions métiers pour essayer d’identifier des leviers à la lumière d’éventuels impacts sur les plannings, les programmes de travail ou encore les délais de validation des livrables. Mais cet exercice s’avère souvent insuffisant…
 
Il pourrait donc être aisé d’en conclure que le retour sur investissement est inexistant. Là encore le raccourci est probablement « trop » facile. Avant de chercher à les convaincre, les sponsors projet ont-ils évalué la satisfaction ou la performance perçue des dispositifs d’assurance interne que le système est censé soutenir ? Si le constat est partiellement satisfaisant, alors c’est bien par l’ajustement des processus métiers qu’il faut démarrer. L’expérience démontrant que l’outil ne parvient JAMAIS à réaliser cet exercice. Espérer y parvenir au travers d’un projet de ce type, c’est ajouter des difficultés à une équation déjà complexe puisque les experts métiers n’ont pas encore réussi !

*Outil GRC : outil dédié à la gestion des risques et la conformité