Il y a plusieurs années, BT a entrepris de moderniser son système de gestion des risques et des contrôles en adoptant une approche cohérente qui améliorerait la visibilité dans l’ensemble de l’organisation et fournirait des données crédibles et opportunes à l’équipe de direction et au conseil d’administration.
DÉFI
Le groupe BT est le premier fournisseur de communications fixes et mobiles du Royaume-Uni. Il propose des services à large bande, des services mobiles, des services de sécurité, des services de télévision, des services de mise en réseau et des services informatiques. Avec des opérations dans 180 pays et plus de 100 000 employés, l’organisation a une structure complexe, ce qui rend difficile l’évaluation de son exposition aux risques.
Parallèlement, le code britannique de gouvernance d’entreprise révisé exigera des conseils d’administration qu’ils déterminent ce qu’ils considèrent comme des risques et des contrôles importants et qu’ils décident du niveau de surveillance et d’assurance dont ils ont besoin pour déclarer l’efficacité des contrôles importants dans le rapport annuel et les comptes d’ici à 2026.
« Il était clair que l’approche de la gestion des risques pouvait être améliorée. Nous avions besoin d’un cadre qui fournisse aux responsables de la gestion et de la supervision des risques les processus et la structure nécessaires pour le faire. Il était essentiel que le cadre soit cohérent et efficace, qu’il contribue à soutenir des décisions de qualité et qu’il donne d’importants signes d’alerte précoce lorsque quelque chose est sur le point de mal tourner », se souvient Dan Maclennan, directeur des risques du groupe BT. « Nous avons entrepris de revoir le processus de fond en comble.
Mais il y avait un point d’achoppement potentiel : le nouveau cadre avait été conçu sur mesure pour BT et disposait d’un processus de reporting des risques très spécifique, ainsi que de ses propres conventions de dénomination qu’il était essentiel de maintenir. Nombreux étaient ceux qui doutaient qu’un nouveau système puisse reproduire le cadre et produire les rapports exigés par le conseil d’administration.
SOLUTION
BT s’est tourné vers Riskonnect pour qu’il lui fournisse une plateforme permettant de donner vie à ce cadre, en intégrant toutes les activités de risque, de contrôle et d’assurance. Le projet a commencé par la mise en œuvre de la solution de gestion des risques d’entreprise de Riskonnect, suivie des solutions de contrôle interne et d’audit.
« Nous avons choisi Riskonnect parce qu’il est très configurable », explique M. Maclennan. « La philosophie qui sous-tendait notre approche était de créer une communauté axée sur le risque, comprenant des professionnels de la gestion du risque d’entreprise, du contrôle et de l’assurance. Avec Riskonnect, nous avons pu tout réunir dans un cadre unique.
Il est important de noter que BT a pu continuer à appliquer sa méthodologie établie en matière de risque, de contrôle et d’assurance. La distinction entre « risques durables » et « risques dynamiques », par exemple, est la pierre angulaire de son programme de gestion des risques. Les risques durables sont ceux qui persistent dans le temps et qui valent la peine d’investir dans la structure des contrôles et des processus en vue d’une atténuation à long terme. Les risques dynamiques sont des risques et des incertitudes significatifs « du moment » qui surviennent, qui ne peuvent pas être atténués par le cadre de contrôle existant et qui nécessitent une réponse spécifique.
Une étape importante a consisté à élaborer le modèle de données qui alimentera les rapports. L’équipe a passé plus d’un an à définir ses risques permanents – santé et sécurité, cybernétique, protection des données, etc. « Il a fallu autant de temps pour obtenir des résultats significatifs », explique M. Maclennan.
Les données relatives à tous les risques durables et aux contrôles correspondants sont désormais hébergées dans Riskonnect afin de montrer comment ces risques se répercutent dans l’ensemble de l’organisation. Les responsables des contrôles et les fournisseurs d’assurance ont un accès complet au système pour mener à bien leurs activités. D’autres peuvent fournir des mises à jour via un portail, ce qui facilite l’intégration d’autres personnes dans le processus.
RÉSULTATS
Avec Riskonnect, BT a accompli ce que certains pensaient être un voyage sans fin : Toutes les données relatives au risque, au contrôle et à l’assurance sont désormais regroupées dans un cadre unique pour une meilleure visibilité – et sa structure de risque unique a été préservée.
« Le cadre définit la manière dont chaque domaine de risque spécialisé est géré », explique M. Maclennan. « De nombreux secteurs de l’entreprise faisaient déjà du bon travail, mais pas de manière cohérente, de sorte qu’il était facile d’effectuer un suivi dans l’ensemble du paysage et de hiérarchiser les efforts lorsque cela était nécessaire. Chaque secteur dispose désormais d’une responsabilité et d’une structure claires, ce qui permet à chacun de faire son travail plus efficacement ».
Les charges administratives ont été supprimées et les rapports ont été rationalisés et améliorés pour obtenir une vue d’ensemble. « Nous avons besoin de voir de nombreux aspects différents du risque, depuis les moindres détails jusqu’à la vue d’ensemble au niveau du conseil d’administration. C’est un véritable champ de mines », explique-t-il. « La solution fournie par Riskonnect a permis à notre structure d’y parvenir.
Riskonnect fait apparaître les bonnes données dans des rapports automatisés qui permettent au conseil d’administration d’avoir une vue d’ensemble des risques importants et complexes. Les dirigeants peuvent choisir une catégorie – par exemple la cybernétique – et lancer un rapport qui montre l’efficacité des contrôles. « Nous avons une visibilité sur l’ensemble du paysage », déclare M. Maclennan.
L’existence d’un cadre unique permet également de définir les normes à partir desquelles tout peut être évalué afin de hiérarchiser les ressources, les priorités et le budget. Prenons l’exemple du cyber-risque. « Notre équipe de cybersécurité a été la première à adopter le cadre et l’outil Riskonnect, qui est maintenant utilisé pour surveiller notre exposition et suivre les actions visant à renforcer continuellement notre posture de sécurité », explique M. Maclennan.
BT a réussi à vaincre toute résistance persistante à l’égard d’un nouveau système. « Nous avons reçu de bonnes réactions », note M. Maclennan. « Les gens voient vraiment les avantages de l’utilisation de Riskonnect.
Et cela, à son tour, influence la culture. « Dans les réunions, j’entends les gens parler de risques ponctuels et de risques émergents. Cela commence à faire partie de notre vocabulaire ».
Bien que la conformité avec les nouvelles réglementations n’ait pas été une priorité au départ, le nouveau cadre s’aligne bien sur les exigences. « Nous nous sommes préparés par inadvertance et sommes en très bonne position pour répondre aux exigences de contrôle renforcées du code britannique de gouvernance d’entreprise, car nous étions déjà sur la bonne voie.
« Riskonnect nous permet d’atteindre notre objectif, qui est d’aider le groupe BT à gérer les risques de manière intelligente et à prendre des décisions en connaissance de cause », déclare M. Maclennan.
Pour en savoir plus sur la gestion holistique des risques, téléchargez notre ebook, Governance, Risk, and Compliance : The Definitive Guide, et découvrez les solutions logicielles GRC de Riskonnect.
