Le recours systématique au télétravail est un des faits marquants de la période récente de confinement et s’affiche déjà comme un succès durable. Au premier abord, il suffirait de reproduire à la maison ce que l’on faisait au bureau. En fait, c’est le mode de fonctionnement lui-même qui est modifié et ce, sans que les collaborateurs ne soient suffisamment guidés et encadrés car l’environnement procédural était conçu pour une logique différente. Si les entreprises du secteur financier n’adaptent pas leurs processus pour encadrer le télétravail, l’impact à court terme est un accroissement des risques opérationnels, de non-conformité et de qualité de service dégradée. À plus long terme, les doutes tiennent plus de la psychologie des collaborateurs et sur la capacité à innover. Le risque pandémique vient s’ajouter aux autres grands enjeux que connaissent déjà les banques et entreprises d’assurance qui ont tout intérêt à les gérer au sein d’un même schéma directeur.
Une ouverture au télétravail réalisée sous la contrainte mais finalement bien perçue
Le confinement décidé brutalement le 16 mars, pour une application dès le lendemain, a poussé les entreprises à un recours massif au télétravail. Auparavant réticentes, les banques et entreprises d’assurance, comme d’autres secteurs, y ont basculé une grande partie de leurs salariés. La nécessité a pris le pas sur les craintes liées à la sécurité informatique, à la fraude sous toutes ses formes, voire à une baisse de la productivité. On constate, à cette occasion, que le bon déroulement du télétravail dépend du niveau d’équipement et de maturité des SI. On peut citer la disponibilité et la qualité des données, la dématérialisation de documents, le niveau d’intégration des applications, les automatisations et les aides à la décision, le workflow… Même si cela ne convient pas forcément à tout le monde, l’expérience a généralement été perçue comme positive, que ce soit du côté des employeurs ou du côté des salariés. Cette bonne perception est telle que certaines d’entreprises réfléchissent déjà à adopter en permanence un dispositif de télétravail.
Des règles de sécurité assouplies
On n’oublie pas que l’extension dans l’urgence du télétravail, en mars-avril, a été réalisée pour beaucoup au prix d’un allègement des sécurités existantes, tant sur le plan technique que procédural. Ce qui était considéré trop risqué ou non réalisable devient tout à coup possible, sous la pression économique. C’est le cas notamment des habilitations aux applications considérées jusqu’alors comme trop sensibles ou liées à la protection du réseau. On a pu aussi observer l’utilisation d’ordinateurs personnels des collaborateurs ou de machines commandées à la hâte par l’entreprise, sans que des sécurités solides ne soient installées. Ces choix exposent évidemment les entités à un risque accru de cybercriminalité sous toutes ses formes. Le recours à des d’outils externes de cloud et de téléconférence poseseussi des questions.
De même, pouvoir consulter ou saisir un outil générant des flux financiers (par exemple, des applications métier débouchant sur des produits/charges, des applications comptables ou de trésorerie, des logiciels de paie ne présente pas le même environnement de risque, si l’on est au bureau ou à la maison… voire même dans un lieu public ! Ces risques concernent notamment la confidentialité des données, la fraude, externe comme interne, et également un déficit de vigilance quand on fait plusieurs choses à la fois à côté d’exigences domestiques. Cet assouplissement des règles de sécurité, prises dans l’urgence, ne devrait être que temporaire et a besoin d’être relayé par une politique repensée et cohérente.
À court terme : repenser les processus opérationnels qui ne répondent plus à la nouvelle réalité
Pour illustrer le fait que travailler tous à la maison nécessite des règles et des outils différents, il suffit d’observer les collaborateurs des différentes fonctions pendant ce confinement. Par rapport à leur quotidien d’antan, ils font face régulièrement à des situations inédites auxquelles les procédures existantes, formalisées ou non, ne répondent pas :
– des actes de gestion butent sur des blocages que l’on peut/veut contourner ou non à son niveau et sans être sûr que l’on soit vraiment habilité à le faire ;
– des documents ou données ne sont plus accessibles ;
– des applications informatiques, notamment celles développées en interne et qui facilitent la vie au quotidien pour gérer ou contrôler, ne sont plus disponibles ;
– les échanges informels avec les collègues ou le recours à la hiérarchie deviennent plus complexes. On se cantonne à des échanges avec le groupe proche et l’on a du mal à contacter les collaborateurs d’autres services, d’où des blocages ;
– les validations et décisions au quotidien sont plus difficiles à obtenir et le circuit des comités est allongé ;
– sur un plan plus général, on constate une dégradation de la chaîne des traitements, particulièrement les parties assurées par des prestataires externes.
Cette remise en cause s’étend à quasiment tous les domaines d’une banque : gouvernance et comités, limites et délégations, projets et conduite de projet, formation, etc. Avant même le confinement, les actes de gestion ne pouvaient pas tous être réalisés à la maison. Tant que le télétravail était minoritaire, cela ne se ressentait pas. Ce que l’on ne pouvait pas complètement faire depuis la maison, on le faisait le lendemain au bureau. Quand tout le monde est en télétravail et sur une période longue, cette latitude n’est plus possible.
Ces quelques mois de télétravail sous confinement ont déjà généré des risques avérés. Certains sont déjà visibles (par exemple, certains services ont été interrompus, les durées de traitement ont été allongées…), d’autres seront peut-être découverts plus tard (erreurs, fraudes, non-conformité, non-qualité…). Laisser les collaborateurs en télétravail sans avoir conçu et diffusé des processus adaptés ne fera qu’augmenter ce stock de risques avérés et les divergences de pratiques au sein de la banque.
Pour progresser à long terme : repenser les relations professionnelles et sociales
Dans les futurs processus à modéliser, les entreprises ont aussi à tenir des conséquences des nouvelles relations professionnelles et sociales. Le télétravail prolongé risque notamment de provoquer un sentiment d’isolement psychologique pour le collaborateur, pouvant déboucher sur une forme de démotivation et une perte de productivité. On sait aussi que sans avoir un groupe qui l’entoure, celui-ci peut voir son sentiment d’appartenance à l’entreprise s’effriter et se retrouver plus exposé à des écarts comportementaux, sources potentielles de dérives plus graves… comme la fraude ou la corruption. On doit aussi se poser des questions sur la conduite de projets et à la conception de nouveaux produits. Travailler isolément et échanger en vidéoconférence permet-il de continuer de brasser des idées, échanger des bonnes pratiques et créer des synergies ? Comment faire pour que le télétravail ne pénalise pas la créativité ? Il est d’ailleurs à noter qu’en 2017-2018, certaines grandes entreprises américaines, comme IBM, avaient déjà renoncé au modèle de télétravail généralisé. Dans un tout autre domaine, le télétravail a pu être un révélateur de sureffectifs. Les DRH auront aussi à gérer tous les aspects relevant du droit social et peut-être le sentiment d’injustice pouvant apparaître entre échelons plus subalternes, qui doivent être sur le terrain, et les cadres, qui peuvent plus facilement travailler à la maison.
Des modalités de contrôle interne à réviser
Comme pour le reste, le contrôle interne et la maîtrise des risques sont bousculés par tout nouveau mode de travail, car il modifie le profil de risques. Le contrôle permanent de 1er niveau a besoin d’être décliné par rapport au nouvel environnement : par exemple, pour les managers de proximité, l’encadrement des équipes et la surveillance de la production ne peuvent se limiter à une réunion hebdomadaire d’équipe sur Teams ou Zoom, comme on l’a pu observer fréquemment… Pour ce qui est des contrôles de niveau 2 ou 3, comme pour l’ensemble des fonctions clés, les travaux ont besoin d’être repensés afin de pouvoir piloter les risques à distance en utilisant pleinement les moyens informatiques existants et en investissant dans les nouvelles solutions techniques. Les cartographies des risques et les plans de contrôle existants doivent être adaptés dès 2020, en attendant une refonte plus lourde dès lors que la cible définitive sera précisée.
Les plans de continuité d’activité (PCA) existants sont inadaptés
Bien qu’un Plan de continuité d’activité (PCA) soit une obligation réglementaire, il ne répond néanmoins pas aux besoins provoqués pas une pandémie mondiale de grande ampleur. Les PCA prévoient généralement des actions face à des scénarios d’incidents plus limités dans le temps et l’espace permettant de fonctionner en mode dégradé pendant une période assez courte. Un PCA bien conçu n’est quand même pas inutile, car il présente l’intérêt de créer des réflexes, d’anticiper des connexions et des solutions de secours, notamment en matière informatique.
La cible à atteindre : le télétravail comme mode de fonctionnement principal
Il s’agit donc d’analyser et de repenser tous les processus de l’entreprise en mode « télétravail » en prenant en compte les impacts, à court terme comme à long terme. Ce travail de fond reste dans tous les cas nécessaire, car plus personne aujourd’hui ne peut ignorer le risque très probable d’une autre pandémie, avec ce même virus ou un autre. Le Schéma 1 représente ce jeu de processus opérationnels « télétravail » à créer, désigné « mode 2 ». Il vient en parallèle du jeu de processus habituels « en présentiel », désigné « mode 1 ». Quel que soit le mode, certains processus ou sous-processus ne changent pas et restent donc communs aux deux modes.
Comme à l’accoutumée, les processus s’insèrent dans une chaîne de corpus documentaire en cascade et l’ensemble doit être actualisé (voir Schéma 2)
Le mode n° 2 en télétravail nécessitera une formalisation poussée des activités traitées. Si, en mode normal « présentiel », on peut tolérer quelques processus insuffisamment formalisés compensés par une tradition orale, le travail chez soi, isolé, nécessite a contrario un encadrement précis des activités. Le PCA en tant que mode de secours est maintenu. Il répondra aux incidents qui ne peuvent être gérés au sein des modes 1 ou 2, en couvrant essentiellement les mesures de secours informatique et des données.
Les établissements qui choisissent de pérenniser le télétravail généralisé basculeront directement dans le mode n° 2.
En conclusion, quelles sont les options pour les entreprises financières ?
Le travail pendant ce confinement montre l’importance d’un SI performant. Demain, la pérennisation de cette formule nécessitera aussi des investissements importants en matière de SI et de données. L’élaboration des processus actualisés (mode 2) est aussi une bonne occasion de mettre à plat le modèle de fonctionnement afin de l’améliorer. Si, dès maintenant, certaines entreprises réfléchissent à basculer vers un mode de télétravail permanent, d’autres pourraient être tentées de sauter une étape supplémentaire pour cibler une transformation digitale plus disruptive. Une banque par exemple aurait tout intérêt à penser loin vers une cible intégrant dans un même schéma directeur les grands enjeux du moment : la révolution digitale, la concurrence des néobanques, les changements des habitudes de consommer et de travailler, la pression réglementaire et… les risques pandémiques.
