ACMN Vie gère ses risques opérationnels avec le progiciel Oxial

le 10/01/2013 L'AGEFI Hebdo

Face à cet enjeu stratégique, la filiale assurance du Crédit Mutuel Nord Europe veut développer la culture du risque de ses employés.

Nous sommes en phase de déploiement opérationnel pour les processus prioritaires, une cinquantaine environ », indique Christian Roze, directeur des risques et de la solvabilité chez ACMN Vie. La société a initié fin 2010 un projet pour mettre en œuvre le pilier 2 de Solvabilité 2, sur la gouvernance et la gestion des risques, avec deux objectifs majeurs : « Maîtriser nos risques opérationnels, c’est-à-dire les identifier et mettre en place les contrôles, et par ailleurs développer la culture du risque et rendre plus familière la politique de contrôle qui fait partie intégrante de nos activités », explique Christian Roze.

Cartographier les processus

La première étape du projet, s’étalant sur toute l’année 2011, a consisté à identifier et modéliser tous les processus de l’entreprise. Pour ce faire, ACMN Vie a fait appel à la société Logica Business Consulting/CGI. « Nous avons dressé une liste exhaustive de 140 processus, puis désigné des experts métiers que nous avons interviewés pour identifier les risques afférents », détaille Benoît Salandre, manager services financiers chez Logica Business Consulting/CGI et en charge de l’application du pilier 2 chez ACMN Vie. Cette première étape s’est faite à l’aide d’Excel, « qui permet aisément de faire valider la décomposition des processus et les risques associés, poursuit Benoît Salandre. Excel est bien adapté pour évaluer le besoin. On peut facilement faire varier les fourchettes de besoin et ajouter ou supprimer des informations ». Une fois tous les risques identifiés et cartographiés, entre 300 et 400, une organisation cible a été arrêtée avec la définition des rôles de tous les collaborateurs concernés par le contrôle. Par exemple, pour chaque nouveau contrat, il s’agissait de déterminer qui sera en charge du contrôle de fiabilité des informations personnelles, de la lutte antiblanchiment ou du processus de gestion. A partir de là, des risques nets, après contrôles, sont définis. Une cinquantaine sont érigés en priorité : ils devront être pilotés, c’est-à-dire suivis de très près.

A l’issue de cette première étape a été lancée la procédure de choix d’une solution technique pour collecter les incidents et vérifier la bonne application des contrôles. « Nous avons décidé de recourir à un progiciel du marché pour capitaliser sur l’expérience d’autres acteurs et permettre un déploiement rapide », expose Christian Roze. C’est la solution GRC (governance risk compliance) de l’éditeur suisse Oxial, équipant également La Française AM, qui a été finalement retenue. « Le premier critère de choix de ce progiciel a été sa capacité à évoluer sans faire appel à l’éditeur, souligne Benoît Salandre. C’est une solution dite AGL (Atelier de Génie Logiciel, NDLR) qui ne nécessite pas de compétences informatiques pour effectuer des modifications. » Les autres critères de choix avaient trait à la facilité de faire du reporting, Oxial s’intégrant à tous les outils du marché, dont Business Objects utilisé chez ACMN Vie. Enfin, les capacités de travail collaboratif d’Oxial ont également joué, permettant un dispositif centralisé pour la gestion des risques proprement dits et une partie décentralisée pour l’exécution des contrôles et les remontées d’incidents. Oxial est un progiciel autonome qui ne nécessite pas de s’interfacer avec le système d’information. Seul le LDAP (lightweight directory access protocol, service d’annuaire) est sollicité pour authentifier les utilisateurs. Ceux-ci peuvent accéder à l’outil directement sur leur poste de travail en tapant leurs identifiant et mot de passe usuels.

Au total, une cinquantaine de collaborateurs sont concernés. Le déploiement de l’outil a duré un peu moins de six mois, paramétrage et reprise des données excel compris. Les procédures de contrôles pour les processus de niveau 1 ont été établies. Au début de l’été 2012, ce sont les processus de niveau 2 qui sont étudiés. « Leur analyse et leur implémentation dans Oxial seront finalisées d’ici à fin 2012, annonce Christian Roze. Des plans d’action issus du suivi des résultats seront élaborés au début de l’exercice 2013. » En parallèle, des formations seront organisées pour l’ensemble du personnel en vue de sensibiliser aux risques et pour l’appropriation des procédures de contrôle, soit deux ou trois demi-journées par personne, « la phase la plus délicate de ce projet », confie Christian Roze. Dans le même temps, le déploiement du logiciel Oxial sera effectué dans les autres filiales assurances du groupe, ACMN IARD et Nord Europe Life Luxembourg. « Pour l’instant, nous en sommes à la phase de cartographie des risques pour ces deux filiales », conclut Christian Roze.

A lire aussi