La Banque européenne d’investissement est une institution de financement de l'Union Européenne (UE). Elle a pour principal but d'emprunter sur les marchés financiers pour financer des projets au sein de l’UE. Ces derniers peuvent concerner plusieurs domaines tels que le climat, l'environnement, le développement, ou encore l'innovation. Mais aussi les petites et moyennes entreprises, les infrastructures et la cohésion européenne. Elle réunit et collabore étroitement avec d’autres institutions de l’UE afin de favoriser l'intégration européenne, de promouvoir le développement de l’UE, ainsi que les politiques de plus de 140 pays dans le monde entier.
En 2015, la BEI lance un projet de transformation complète de son système de contrôle interne. Le projet vise notamment à mieux intégrer les dimensions de gouvernance, risques et conformité (GRC). Il s’inscrit dans un contexte d’intensification des exigences règlementaires et des partenaires de l’institution.
A savoir, notamment, la Commission Européenne, pour qui la BEI gère et administre un certain nombre de mandats. L’administration de ces mandats pour le compte de la Commission Européenne impose à BEI de pouvoir justifier une utilisation effective et efficiente des fonds européens ainsi que d’assurer la gestion des risques et contrôles associés à l’exécution de ces processus.
Le projet de transformation a pour objectif principal de déployer une approche intégrée afin de documenter l’ensemble des processus de l’institution. Cela grâce à une plateforme permettant de saisir et référencer toutes les informations relatives aux analyses de risque et de contrôle, ainsi que tous types de risques opérationnels. Il s’agit aussi de fournir un reporting précis au « senior management » et au comité d’audit, dont les attentes sont de plus en plus fortes.
Avant de déployer la solution de MEGA, la BEI avait développé un outil interne qui ne pouvait plus répondre à ses besoins. Ces derniers étaient multiples et ont pu être comblés par la nouvelle solution:
La BEI a sélectionné MEGA pour les accompagner dans ce projet de transformation de leur système de GRC sur la base de trois critères principaux : sa capacité de mise en conformité aux procédures de la BEI, sa performance, et sa compétitivité.
En effet, la BEI applique un protocole très normé pour la sélection de ses prestataires de services, qui relève de directives européennes en matière de procédures d’achat. Ces dernières exigent une transparence sans failles dans la mise en concurrence de différents prestataires. Par ailleurs, cet appel d’offres fournissait un périmètre fonctionnel très précis aux entreprises candidates. Ce périmètre résulte d’une analyse de besoins et une étude de marché réalisée avec le support d’un consultant indépendant.
MEGA a répondu aux critères techniques et financiers requis par l’institution. L’équipe du contrôle interne n’étant pas composée d’experts en informatique - mais d’experts opérationnels du contrôle, de l’audit ou encore des gestionnaires de projets – la performance des dimensions fonctionnelles proposé par MEGA a été déterminante dans la sélection finale.
Lancé en 2017, le projet, qui sera bientôt en phase d’implémentation, se déroule en six étapes :
Lorsque l’on passe d’une approche « in house » à une approche plus sophistiquée telle que celle de MEGA, il est important d’obtenir l’adhésion au projet de sponsors interne. Cela permet d’avoir leur soutien à toutes les étapes du projet. Et donc de ne pas ralentir sa progression.
Il est aussi essentiel d’obtenir l’adhésion du « senior management », car il permet de faire converger les intérêts de toutes les strates concernées de l’institution. Mais aussi de minimiser l’impact opérationnel que le déploiement de cette nouvelle application génère pour les équipes.
Toute la stratégie de mise en place de la solution est centrée sur les objectifs de reporting. MEGA permet en effet de satisfaire tous les critères méthodologiques, les requis « d’audit trail », et la définition du niveau d’information nécessaire en fonction des besoins. Cette étape permet de faciliter les arbitrages, la définition des priorités et la prise de décision opérationnelle.
Pour les transactions clés, MEGA a permis à la BEI de définir une architecture agile dans laquelle peuvent s’intégrer des éléments variables, à savoir les risques, les contrôles, et les résultats des analyses et des contrôles. Ce qui permet de faire évoluer l’architecture en fonction de l’évolution des besoins.
Cette étape de définition et de standardisation de protocoles pour la capture de risques et très importante pour assurer une cohérence des différents descriptifs. Et surtout, pour assurer un niveau homogène de granularité de l’information.
Définir une vision claire du premier niveau de performance à atteindre est primordial, tout comme de prévoir les futures ambitions et évolutions potentielles de la solution dans les années à venir. Car la BEI souhaite faire évoluer son système de GRC en l’inscrivant comme un projet évoluant constamment.
Le projet de transformation du système de GRC initié par la BEI fait d’ores et déjà émerger les bonnes pratiques qui ont été appliquées.
La première consiste à procéder à un déploiement progressif qui a permis de maitriser l’information, le protocole de saisie, l’application, et les fonctionnalités de reporting. Et ce, afin d’éviter une multiplication des exigences et d’interprétations des attentes.
Il a été aussi question de limiter la personnalisation. En effet la BEI a décidé d’adapter son approche à l’architecture de MEGA et non l’inverse. Ce qui lui permet d’être plus agile, et de grandement faciliter sa transformation.
L’institution a aussi pu compter sur le soutien du « senior management ». C’est un point essentiel, surtout pour les phases préliminaires du projet, car il permet de connecter de nombreux contributeurs et évite de cantonner le projet à une seule fonction. Elle s’est par ailleurs fixé des ambitions raisonnables. Car, lors de la mise en place de l’outil, la BEI a évalué clairement ce qui était implémentable à court et moyen terme en termes de transformation. Ce qui permet de définir précisément le périmètre du changement.
La BEI a aussi clairement défini ses objectifs de reporting. Puisque c’est l’objectif de son projet de transformation, la définition des objectifs de reporting oriente toutes ses exigences en matière d’architecture. C’est en fonction de cet objectif que le département du contrôle interne sera évalué par le « senior management » et les partenaires de l’institution.
Et enfin, elle a défini avec précision les rôles des différents utilisateurs. Cette démarche constitue un projet à part entière pour la BEI, qui sera abordé dans une prochaine phase. Il permettra de limiter la modification des données dans l’application, et nécessitera une analyse approfondie de l’information saisie.
Retrouvez la vidéo du témoignage de Johnny Benavides: