D’une manière générale, il existe deux approches pour structurer un programme de continuité des activités.
Une structure centralisée implique de diriger et d’exécuter le processus de planification de la continuité des activités au sein d’une seule équipe et d’impliquer l’entreprise si nécessaire.
Une structure décentralisée consiste à tirer parti d’un petit nombre de ressources centralisées qui offrent une assistance consultative et une mesure des performances, tandis que des ressources dispersées dans l’ensemble de l’entreprise exécutent le processus de planification proprement dit.
Les deux approches ont des avantages et des inconvénients, il est donc essentiel que les organisations choisissent l’approche appropriée qui adhère à la stratégie globale, à la structure, à la culture et aux priorités de leur organisation. Dans cette perspective, je présenterai une vue d’ensemble de chaque type de structure, les attributs qui leur sont associés et des informations complémentaires pour vous aider à choisir la méthode la plus efficace pour mettre en œuvre un programme de continuité d’activité au sein de votre organisation.
QUELLE EST LA DIFFÉRENCE ?
Le facteur déterminant de chaque structure est le lieu où les connaissances et les responsabilités en matière de continuité des activités sont détenues au sein de l’organisation.
Un programme centralisé est un programme dans lequel la responsabilité de l’exécution des activités de soutien à la continuité d’activité et à l’effort de préparation est détenue par une seule entité ou un seul groupe – généralement au niveau de l’entreprise (ou du siège) – positionné pour engager tous les éléments clés de l’organisation. Ces équipes centralisées sont souvent composées de professionnels de la continuité des activités chargés de concevoir, de mettre en œuvre, de rendre compte et d’améliorer tous les aspects du programme dans l’ensemble de l’organisation, en coordination avec les représentants des activités et des fonctions, ainsi qu’avec les responsables des processus, à des degrés divers. Ces activités sont souvent menées sur la base de conseils et d’orientations fournis par un sponsor exécutif du programme ou par un comité de pilotage de la continuité des activités (ou tout autre organe directeur).
Dans un programme décentralisé, la responsabilité est répartie dans l’ensemble de l’entreprise et repose sur les responsables fonctionnels qui exécutent eux-mêmes les activités de continuité des activités. Ces personnes apportent au programme leur connaissance de leurs fonctions respectives et sont bien placées pour réagir de manière flexible aux changements qui surviennent dans l’entreprise. Ils agissent souvent de manière semi-autonome ou totalement autonome dans l’exécution des activités de planification, avec peu de contrôle de la part d’un centre centralisé (à l’exception éventuelle d’une déclaration de politique de continuité des activités ou d’une norme proposée par la direction de l’organisation).
AVANTAGES ET INCONVÉNIENTS DE CHAQUE APPROCHE
Bien que l’une ou l’autre des approches de la continuité des activités énumérées ci-dessus puisse être employée de diverses manières, chacune d’entre elles tend à présenter un ensemble commun d’avantages et d’inconvénients liés à sa mise en œuvre. Examinons les forces et les faiblesses typiques de chaque approche.
Centralisé : Le principal atout des organisations qui utilisent une structure de programme centralisée est l’orientation descendante et la focalisation qui peuvent être maintenues par le groupe ou l’équipe de continuité d’activité. Ces professionnels de la continuité d’activité peuvent travailler directement avec le sponsor du programme, le comité de pilotage ou l’organe de direction pour établir les priorités et utiliser leurs connaissances et leurs ressources pour les mettre en œuvre dans l’ensemble de l’organisation. Cette approche se prête à un haut degré de cohérence (à la fois en termes de méthodologie et de résultats) dans l’ensemble du programme et soutient une structure de reporting simple pour tenir la direction informée et fournir des recommandations sur les performances et les exigences.
Cependant, un groupe centralisé de continuité des activités peut être confronté à un manque de connaissances organisationnelles (en particulier, la valeur des produits et des services et la manière dont le client les utilise) et à la manière dont les priorités opérationnelles sont mises en œuvre par l’organisation (ces équipes centralisées ont tendance à être submergées par le nombre de départements ou de fonctions qui peuvent nécessiter une attention particulière). Cela est particulièrement vrai dans les organisations de grande taille ou géographiquement dispersées. Ces deux défis peuvent être atténués en s’engageant régulièrement avec un comité de pilotage interfonctionnel et en s’engageant sur l’objectif de l’organisation et sur la manière dont l’organisation est structurée pour remplir ses obligations.
D’un point de vue conceptuel, le type de programme de continuité des activités le plus « centralisé » est celui dans lequel un tiers spécialisé dans la continuité des activités est chargé de mener toutes les activités du programme dans le cadre d’une externalisation. Cette approche centralisée évite à l’organisation d’avoir à évaluer en permanence l’affectation du personnel (ce qui relèverait normalement de la responsabilité de la tierce partie). En fonction de la nature de la relation avec le tiers, elle pourrait réduire la pression exercée sur l’organisation en période de changement. En outre, les tiers ont souvent une grande expérience de la mise en œuvre et de la gestion de programmes avec des organisations similaires et dans des secteurs similaires, ce qui ajoute à l’expertise fonctionnelle et à l’approche nuancée de votre organisation.
Décentralisée : Une structure décentralisée s’appuie fortement sur des représentants fonctionnels qui mènent les activités de planification de la continuité des activités (y compris, mais sans s’y limiter, l’analyse de l’impact sur les activités, l’évaluation des risques, la détermination et la sélection de la stratégie, la documentation du plan et l’exercice). Le principal avantage est que ces personnes ont souvent une connaissance approfondie de l’organisation qu’elles s’efforcent de protéger, ainsi qu’une connaissance approfondie des produits/services et de la manière dont le client les utilise. En raison de la proximité du planificateur avec l’organisation, cette approche est mieux à même de réagir aux changements organisationnels.
Si l’approche décentralisée de la planification contribue à améliorer la documentation du programme, l’absence d’une communauté centralisée fournissant des modèles et des conseils peut souvent entraîner des incohérences au sein de l’organisation. Ce problème peut se poser au niveau de la manière dont les informations sont saisies et présentées, ainsi qu’au niveau de la nature des priorités accordées par certaines parties de l’organisation à leur fonction par rapport à d’autres. En outre, les participants à des programmes décentralisés peuvent tomber dans le piège de la planification en vase clos, c’est-à-dire qu’ils élaborent des plans de continuité et des exigences sans tenir compte des priorités de l’entreprise (ou sans en avoir une connaissance suffisante). Si ce risque peut être atténué par la mise en place d’un solide système de reporting qui intègre les mesures décentralisées dans un produit consolidé que le comité de pilotage peut comparer à ses priorités, il exige que l’organisation gère activement la manière dont ces priorités sont diffusées et intégrées dans les activités du programme. Elle accorde également une importance accrue aux activités de formation et de sensibilisation afin de s’assurer que les participants au programme dans l’ensemble de l’organisation disposent des connaissances nécessaires pour mener à bien le cycle de vie de la continuité d’activité.
En outre, comme ce programme de continuité des activités repose souvent sur des personnes qui ne sont pas des professionnels de la continuité des activités pour mener à bien les activités du programme, certaines organisations ont du mal à s’assurer que les personnes chargées des activités de continuité des activités consacrent le temps nécessaire au programme. Ce problème peut être difficile à résoudre car les priorités quotidiennes ou hebdomadaires de chaque participant seront axées sur leur » travail quotidien » et il peut être difficile de comprendre combien de temps est réellement nécessaire et à quel moment. Il existe quelques techniques pour atténuer ce problème, notamment la mise en œuvre de systèmes de rapport efficaces (pour comprendre quand quelque chose n’est pas fait selon les normes) ou l’externalisation de la mise en œuvre du programme à une tierce partie spécialisée dans la continuité des activités et la normalisation des activités de maintenance du programme.
QUELLE EST L’APPROCHE LA PLUS ADAPTÉE À MON ORGANISATION ?
La mise en œuvre d’un programme de continuité des activités adapté à votre organisation peut sembler une perspective intimidante. Chaque organisation est différente et votre approche de la continuité des activités doit refléter la structure, la culture et les priorités propres à votre organisation. Pour vous faciliter la tâche, voici quelques questions essentielles à poser lors de l’évaluation des structures de continuité d’activité ou de la structure actuelle de votre programme.
La structure : Comme pour les autres systèmes de gestion, il est important de tenir compte de la structure de votre organisation pour déterminer l’approche la plus efficace pour votre programme de continuité des activités. Votre organisation tend-elle vers une hiérarchie avec une prise de décision centralisée, ou est-elle « plate » avec des entités autonomes responsables de l’autogestion ? La structure de l’organisation comporte-t-elle une composante régionale dans laquelle les régions doivent être capables de fonctionner de manière indépendante ? Pour être efficaces, les programmes de continuité des activités doivent s’aligner sur la structure organisationnelle actuelle afin de s’intégrer de manière transparente dans les flux de travail et les responsabilités actuels.
La culture : Il est essentiel de comprendre et d’intégrer la culture de votre organisation lors de l’élaboration et de la mise en œuvre d’un programme de continuité des activités. Bien que la culture soit difficile à évaluer quantitativement, elle fait partie des considérations les plus importantes pour la mise en œuvre du programme afin de s’assurer qu’il est effectivement intégré dans les efforts globaux de préparation de l’organisation. Pour déterminer comment la culture propre à votre organisation peut influer sur le choix de la structure la plus efficace pour votre programme, réfléchissez à la manière dont votre organisation a tendance à attribuer les responsabilités pour les tâches et les activités auxiliaires. Avez-vous tendance à attendre du personnel de l’ensemble de l’organisation qu’il prenne part aux activités secondaires, ou attendez-vous de lui qu’il se concentre sur son domaine fonctionnel individuel, les services de soutien étant fournis par des entités externes, voire tierces ?
Le style de gestion : Le style de management est un élément essentiel dans le choix de la structure de continuité des activités la plus appropriée pour votre organisation. Bien qu’il soit étroitement lié à la structure et à la culture de l’organisation, il est important d’attirer l’attention sur ce point séparément. Dans le cadre de notre discussion, le style de gestion décrit la nature des interactions entre les individus au sein de l’organisation. Les membres de votre organisation ont-ils l’habitude d’interagir entre eux de manière transversale, ou la coordination est-elle principalement gérée par l’encadrement direct ? Les programmes décentralisés de continuité des activités exigent souvent que les individus travaillent de manière transversale pour définir les exigences ou comprendre comment leur fonction spécifique s’inscrit dans la « vue d’ensemble ». Les organisations dont le style de gestion est strictement cloisonné peuvent éprouver des difficultés à mettre en œuvre un programme de continuité des activités qui nécessite une coordination interfonctionnelle importante.
AUTRES CONSIDÉRATIONS
Que votre organisation s’oriente vers une structure centralisée ou décentralisée, ou vers une combinaison des deux, il y a deux concepts clés à garder à l’esprit pour s’assurer que la structure du programme soutienne avec succès les efforts de préparation de votre organisation – la cohérence du programme et l’importance de la formation et de la sensibilisation.
La cohérence : Bien que les organisations de grande taille ou géographiquement diversifiées aient tendance à éprouver plus de difficultés avec la cohérence, il s’agit d’un facteur commun aux programmes de continuité d’activité qui ne répondent pas aux attentes de la direction. S’assurer que les normes, les rôles et les responsabilités, les attentes et les résultats sont normalisés dans la documentation de gouvernance et communiqués tout au long du programme est essentiel pour développer et maintenir un programme de continuité d’activité efficace. Les deux structures de programmes peuvent éprouver des difficultés à maintenir la cohérence et, pour ce faire, des mesures actives doivent être prises par les participants au programme.
Formation et sensibilisation : Quelle que soit l’efficacité de vos stratégies, le détail de vos plans ou la cohérence de vos normes, si les membres de votre organisation n’en sont pas conscients, tout cela ne servira à rien. De nombreuses organisations consacrent du temps et de l’énergie à l’élaboration d’une documentation détaillée sur la gouvernance, d’analyses d’impact sur les activités, d’évaluations des risques et de plans de reprise, pour finalement les laisser sur une étagère sans y toucher. Les exercices de validation, les formations de sensibilisation et les efforts d’amélioration sont absolument essentiels pour garantir que votre organisation puisse réellement répondre à une perturbation et s’en remettre conformément aux attentes de la direction.
PENSÉES FINALES
Comme de nombreux aspects du monde moderne, il n’y a pas de réponse unique ou d’approche universelle pour structurer votre programme de continuité d’activité. Chaque organisation a des priorités, des exigences, une culture, un style et une stratégie différents (et c’est une bonne chose !). Mais cette diversité moderne des attributs organisationnels s’accompagne d’une complexité accrue dans la mise en œuvre d’un programme de continuité des activités qui soit réellement adapté à votre organisation. Bien que cela puisse sembler décourageant, cela signifie simplement que la compréhension de votre organisation est aussi importante (si ce n’est plus) pour développer et mettre en œuvre un programme de continuité d’activité efficace que la compréhension de la continuité d’activité elle-même.
Nous protégeons les activités de nos clients en élaborant des solutions de continuité des activités, de reprise après sinistre et de sécurité de l’information qui sont étroitement liées aux priorités stratégiques de l’organisation. Si vous cherchez de l’aide pour développer votre programme, nous pouvons vous aider ! N’hésitez pas à nous contacter dès aujourd’hui pour en savoir plus.
