Nalco construit un référentiel mondial de ses processus

Rencontre avec Jean-Marc Brusson (JMB), Director Information Technology de Nalco, responsable de la modélisation des processus.

BPMS.info :
Pouvez-vous nous présenter Nalco ?

JMB :
« Nalco est le leader mondial dans le domaine du traitement de l’eau et de l’amélioration des processus industriels au travers des solutions combinant services, produits chimiques et équipements. Son fonds de commerce de plus de 60 000 clients est diversifié autour de multiples industries et a généré un chiffre d’affaire de plus de $ 3.0 Milliards en 2004. Nalco est organisé autour de trois lignes d’activité :
– Industrial and Institutional Services (industries et services) ;
– Energy Services (services pour le secteur énergie) ;
– Paper Services (services pour les industries papetières). »

BPMS.info :
A quelle occasion Nalco a-t-elle entrepris de modéliser ses processus ?

JMB :
« Nalco a véritablement commencé à modéliser ses processus en 2000 quand l’initiative « PCO » (Process Centered Organization) a été lancée pour faire passer Nalco d’une entreprise structurée en Silos en organisation centrée autour de l’amélioration des processus.
Le lancement du projet « Aquarius », deux années plus tard, qui visait l’implémentation d’une plateforme SAP unique en Amérique du nord et en Europe, a été l’occasion de capitaliser sur cette première initiative.
Ceci impliquait non seulement la nécessité d’utiliser à travers le monde des processus communs mais aussi la mise en place d’une plateforme informatique unique qui tienne compte malgré tout des spécificités locales.
Plus récemment, la loi Sarbanes-Oxley (SOX) a été l’occasion pour l’entreprise de consolider cette approche. En effet, la nécessité d’être en conformité avec la nouvelle réglementation SOX n’a pas été vue par Nalco comme une contrainte mais bien comme un accélérateur pour mettre en œuvre cette organisation centrée sur les processus.

Le but de Sarbanes-Oxley est de donner à l’investisseur un niveau de confiance élevé dans la qualité du contrôle interne de l’entreprise. En cela, SOX introduit une composante Qualité dans la valeur de l’entreprise car, à situation financière comparable, l’entreprise qui affiche une qualité de contrôle interne faible, subira une décote sur le marché. La valeur de l’entreprise est alors fonction de ses résultats comptables mais aussi de son niveau d’appréciation et d’anticipation des risques.

Les enjeux du projet viennent essentiellement de la section 404 de SOX, qui est composée de trois volets :

-une déclaration de la responsabilité de la Direction dans la mise en œuvre d’un système de contrôle interne garantissant l’exactitude du reporting financier. Ce faisant, les dirigeants engagent leur responsabilité pénale ;
– Une évaluation de la Direction sur l’efficacité du système de contrôle interne sur le reporting financier, accompagné d’un rapport identifiant le cadre de référence utilisé par la Direction pour cette évaluation en mettant en avant la façon de couvrir les risques.
– Une certification indépendante, par les auditeurs externes, de l’évaluation faite par la Direction sur l’efficacité du système de contrôle interne.

L’évaluation et la certification sont appréciées au travers d’une grille d’évaluation commune, à trois niveaux :
– insuffisance (deficiency),
– insuffisance significative qui peut avoir une incidence sur le cours de l’action (significant deficiency),
– faiblesse avec impact significatif (material weakness). »
Nalco-SOX-1.gif    

BPMS.info :
Comment définir le périmètre des processus à étudier ?

JMB :
« On intègre la notion de "reasonable ensurance" pour éviter de prendre en compte tous les risques. Nalco a décidé de prendre en compte tous les risques ayant un seuil de probabilité de survenance équivalant ou supérieur à 5% ainsi que les risques ayant un impact significatif.
La démarche concerne aussi bien les processus métier que certains processus support qui les sous tendent, notamment les processus informatiques. »

BPMS.info :
Pouvez-vous nous détailler le travail effectué sur les processus métier ?

JMB :
« L’analyse des risques sur les processus métier consiste à contrôler les activités qui peuvent avoir un impact direct en matière de risques sur les comptes financiers de l’Entreprise en ne répondent pas aux cinq engagements définis par la direction Générale (complétude, existence, évaluation, présentation, droits et obligations). Chaque responsable de processus identifie les risques potentiels. Il documente et met en place des points de contrôle et l’on vérifie que le contrôle fonctionne à travers des tests spécifiques. Ces contrôles sont de deux types : a priori (prescriptifs) et a posteriori (détectifs) ; Il convient de combiner les deux types de contrôle pour disposer d’une bonne couverture. En effet, Nalco définit d’abord des points de contrôle qui interviennent avant que le risque n’ait un impact réel. Ces activités de contrôle sont de trois types : manuelle, semi manuelle (utilisation d’un tableur par exemple), automatique (contrôles applicatifs). Ensuite, des tests sont réalisés pour voir si les points de contrôle sont efficaces, ce qui permet de valider l’activité de contrôle. »

BPMS.info :
La démarche est-elle identique pour les processus informatiques ?

JMB :
« Il faut que les processus sous la responsabilité de l’informatique puissent supporter les applications et les technologies qui elles mêmes supportent les contrôles. La démarche entreprise est la même que pour les processus métier : identifier les risques, définir des activités de contrôle a priori, tester a posteriori ces points de contrôle pour les valider.

L’identification des risques a été rapide mais la difficulté a résidé dans la définition des activités permettant de les recouvrir.

La démarche retenue a été de privilégier pour le projet SOX la mise en place de trois process-clés d’ITIL :
Change management et ses processus liés, utilisé pour assurer le contrôle de tous changements concernant les composants de l’infrastructure informatique, (applications, matér
iels, logiciels et documentation), et ainsi faciliter la maîtrise des changements et le traitement des incidents et des problèmes.

Security management, ensemble des activités permettant de garantir un niveau de sécurité défini, processus qu’emploie Nalco notamment pour s’assurer de la séparation des tâches.

Continuity management, processus qui permet de définir, tester, et mettre à jour régulièrement, les plans et/ou procédures, afin de prévenir toute interruption des services critiques pendant une longue période. Ce processus répond au besoin SOX concernant les sauvegardes nécessaires. »

BPMS.info :
Comment structurer une base processus mondiale couvrant quinze pays ?

JMB :
« La décision a été prise d’établir un seul méta modèle pour toutes ces implantations. Il existe donc un seul référentiel commun à tous les pays mais avec autant de bases que de pays. Ainsi, si une proposition d’amélioration est jugée pertinente, elle sera appliquée dans tous les pays, en tenant compte des contraintes locales.
Pour supporter ce projet, c’est la solution de Casewise , Corporate Modeler Suite , qui a été choisie, notamment pour la simplicité d’adaptation de la structure de données (méta modèle).
L’intérêt de cet outil est identifié à plusieurs niveaux :
– permettre de formaliser les processus (phase 1 sur le schéma) ;
– Modéliser les risques, les activités de contrôle (phase 1) ;
– Associer les risques aux différentes tâches de chaque processus (phase 1) ;
– Enregistrer ces résultats dans un référentiel (phase 2) ;
– Avoir une vision transversale du processus : la base de données de la solution permet de croiser les résultats. Elle permet de mettre en évidence certains risques communs à différents processus et de mieux les anticiper (phase 3) ;
– Editer à tout moment des rapports autant sur les résultats de ses activités de contrôle interne que sur la manière dont elles sont réalisées et rendre ces informations disponible sur le Web pour toucher l’ensemble des utilisateurs concernes a moindre coût (phase 4). »

   

BPMS.info :
Comment le projet est-il organisé ?

JMB :
« Pour ce projet, SOX mobilise environ quarante personnes à plein temps, réparties sur les quinze pays. Il existe trois catégories de personnes selon leur niveau d’engagement dans le projet :
– les utilisateurs qui réalisent les tests ;
– Les Power User qui les aident dans le travail de documentation et valident les tests ;
– Les Super Power User qui sont responsable du bon déroulement du projet pour chaque région. »

BPMS.info :
Quelles sont les prochaines étapes ?

JMB :
« Nous voulons tout d’abord transformer ce projet en processus, la compliance avec SOX doit être remise en cause chaque année. Nous voulons aussi nous servir des acquis de ce projet pour prolonger encore plus loin notre démarche d’amélioration continue de la performance de nos processus. »

Interview réalisé le 5 septembre par Jean-François PIRUS.

Share this post:
Nalco construit un référentiel mondial de ses processus