Le secteur de la continuité des activités a récemment beaucoup entendu parler de la méthode PDCA (Plan, Do, Check Act). Presque toutes les normes émergentes suivent cette approche, de BS 25999 et NFPA 1600 (édition 2010) à la nouvelle norme américaine de continuité d’activité créée par ASIS. Cependant, il semble y avoir beaucoup de confusion sur ce qu’est le PDCA – et ce qu’il signifie pour la continuité des activités.

Le modèle PDCA est l’élément de base d’un système de gestion, axé sur l’intégration de la prise de décision au niveau de la direction dans les pratiques traditionnelles du programme. Les activités « traditionnelles » du programme de continuité d’activité, telles que l’analyse de l’impact sur l’activité et l’élaboration du plan, entrent principalement dans l’une des catégories (« faire ») – voir figure 1 – mais la valeur du PDCA réside dans le fait que l’apport et le retour d’information de la direction entourent ces activités, garantissant ainsi une amélioration continue. Les sections suivantes présentent les éléments d’une approche PDCA de la continuité d’activité, en mettant l’accent sur les activités qui apporteront le plus de valeur au programme de votre organisation.

Plan

Le processus de « planification » établit des objectifs, des cibles, des contrôles, des processus et des procédures pour que le programme produise des résultats conformément aux politiques et aux objectifs généraux de l’organisation. En ce qui concerne la continuité des activités, il s’agit de définir le programme de gestion de la continuité des activités, y compris l’identification des normes, la création d’une déclaration de politique, la nomination d’un sponsor du programme et d’un comité de pilotage, et l’établissement d’un champ d’application initial du programme et d’une tolérance au risque.

L’une des activités les plus importantes du « plan » consiste, pour la direction générale, à identifier ce qu’elle souhaite protéger et récupérer dans le cadre de son programme de continuité des activités. Il s’agit généralement de « produits et services critiques ». Il est à noter que la formulation des objectifs clés du programme de continuité des activités en tant que produits organisationnels clés aide à positionner le programme de continuité des activités dans le langage de la direction, ce qui permet d’obtenir la compréhension, le soutien et l’implication de la direction.

Faites

Le processus « faire » met en œuvre et exploite la politique, les contrôles, les processus et les procédures de continuité des activités. Il comprend un certain nombre d’actions visant à comprendre, à élaborer des stratégies, à planifier et à tester l’organisation en vue d’événements liés à la continuité de l’activité.

Comme nous l’avons déjà mentionné, le processus « faire » est l’endroit où les tâches courantes de continuité des activités sont exécutées. La première étape de ce processus consiste à effectuer une analyse de l’impact sur l’entreprise, ou BIA, ainsi qu’une évaluation des risques. L’analyse de l’impact sur l’entreprise permet d’établir une correspondance entre les produits et services critiques et les différents départements et activités, et d’identifier les objectifs de reprise pour chacun d’entre eux. L’objectif de l’évaluation des risques est de décrire les résultats des événements perturbateurs et l’adéquation des contrôles actuels pour empêcher l’événement perturbateur de se produire, ainsi que les recommandations de contrôle pour s’aligner sur la tolérance au risque de l’organisation.

La deuxième étape consiste à identifier les options de stratégie d’atténuation des risques, d’intervention et de rétablissement et, une fois sélectionnées, à mettre en œuvre ces traitements des risques. La troisième étape, « faire », consiste à élaborer la documentation du plan, qui doit être rédigée de manière à permettre des performances reproductibles en matière d’intervention et de rétablissement, quelle que soit l’expérience de la personne qui dirige l’effort. La dernière étape est la formation à l’échelle de l’organisation et la validation des stratégies et des plans par le biais d’exercices, ainsi que le lancement d’activités de maintenance du programme.

Vérifier

Le processus de « contrôle » permet de surveiller et d’examiner les performances par rapport aux objectifs et aux politiques du système de gestion et de communiquer les résultats à la direction pour qu’elle les examine. Le programme doit faire l’objet d’un examen interne afin de mesurer ses performances par rapport à des politiques et des objectifs prédéfinis. Les résultats de ces évaluations doivent être présentés à la direction par l’intermédiaire du comité de pilotage de la continuité des activités.

Vous vous dites peut-être : la direction de mon organisation se réunit à peine pour fixer des objectifs, et encore moins pour les réviser. Si c’est le cas pour votre organisation, la mise en œuvre d’un système de gestion est probablement la solution dont vous avez besoin. Au lieu de se contenter de présenter des mesures basées sur la révision et la maintenance des BIA et des plans, le processus de « vérification » permet au programme de continuité des activités de communiquer les performances du programme dans un langage que la direction comprend. Présenter la capacité de continuité de l’organisation en termes d’alignement sur des résultats organisationnels prédéfinis (produits et services critiques) aidera la direction à comprendre comment le programme est performant par rapport à ce qui est important pour elle. Cela les aidera également à mieux reconnaître l’impact réel des principaux risques sur l’organisation, ce qui leur permettra d’accepter le risque ou de prendre des mesures pour y remédier.

En bref, le processus de « vérification » garantit que la direction est responsable du programme et de la capacité globale de l’organisation à assurer la continuité des activités.

Agir

Le processus « act » permet de maintenir et d’améliorer le programme en prenant des mesures préventives et correctives, sur la base des résultats de la revue de direction et de la réévaluation du champ d’application, de la politique de continuité des activités et des objectifs. Il s’agit notamment de mettre à jour et de maintenir la liste des actions correctives et préventives (CAPA) et un processus d’examen post-incident, ainsi que d’assurer l’amélioration continue du programme de continuité des activités afin de l’aligner en permanence sur les attentes de la direction.

MON ORGANISATION DOIT-ELLE UTILISER LE MODÈLE PDCA ?

Dans de nombreuses organisations, les concepts des systèmes de gestion sont déjà intégrés dans de nombreux programmes existants, tels que la gestion de la qualité. Il est donc probable que votre équipe de direction soit déjà familiarisée avec les concepts des systèmes de gestion et qu’elle comprenne son rôle dans le fonctionnement d’un système de gestion. Par conséquent, la mise en œuvre d’un cadre de système de gestion permet de relier les efforts de planification de la continuité des activités à des objectifs d’entreprise définis et compris par tous.

Les efforts de continuité des activités sont renforcés par des modèles orientés vers les systèmes de gestion qui évitent le jargon professionnel et se concentrent sur les résultats de l’entreprise. L’intégration du programme de continuité des activités dans les résultats clés de l’organisation vise à mettre l’accent sur les objectifs de la direction et à parler le langage de l’organisation. De ce fait, le programme de continuité des activités est en mesure de communiquer des capacités et des résultats réels, plutôt que de se concentrer sur des micro-projets spécifiques à la continuité des activités.

QUELS SONT LES AVANTAGES DU MODÈLE PDCA ?

La mise en œuvre d’un système de gestion de la continuité des activités présente de nombreux avantages, dont beaucoup ont déjà été décrits dans cet article. Toutefois, ces avantages peuvent être résumés en deux points essentiels : un système de gestion de la continuité des activités oblige la direction à rendre compte des résultats du programme et fournit une approche acceptée pour la validation externe.

La clé du succès d’un système de gestion de la continuité des activités est de gagner et de maintenir l’intérêt et le soutien de la direction générale. Les lignes directrices pour y parvenir ont été abordées tout au long de cet article, mais le principal conseil est de s’assurer que le programme parle le langage de la direction générale (les principaux résultats organisationnels) et de communiquer les performances et les tâches du programme en termes d’alignement sur la capacité de continuité de ces résultats organisationnels. En communiquant de cette manière, la direction comprend la nécessité de maintenir son intérêt pour le programme. L’encadrement se verra proposer le choix d’accepter ou d’agir sur les risques qui contribuent directement au succès et à la continuité des principaux résultats de l’organisation. Un système de gestion de la continuité des activités oblige à aligner fortement ce que pense la direction sur ce que fait et communique le programme de continuité des activités – il oblige en fait la direction à rendre des comptes sur le programme.

Le deuxième avantage majeur de la mise en œuvre d’un système de gestion de la continuité des activités est qu’il résout intrinsèquement le problème de l' »audit d’un plan » que rencontrent de nombreuses organisations. A-t-on déjà demandé à votre organisation une copie de son plan de continuité des activités pour prouver qu’elle était préparée ? Nous savons tous qu’un plan de continuité des activités bien étoffé n’est pas synonyme de capacité organisationnelle. Malheureusement, les tiers n’ont souvent pas d’autre choix que d’examiner le plan et de l’évaluer. La mise en œuvre d’un système de gestion de la continuité des activités, en particulier d’un système certifié par une tierce partie, permet de passer d’un point de vue « check the box » (audit d’un plan) à une vérification réelle que votre organisation dispose d’une capacité de continuité des activités réelle, utile et compétente (examen des performances du système de gestion). Cela permet à l’organisation de valider et de communiquer les performances du programme à la fois en interne (à la direction générale) et en externe (aux principales parties prenantes) – dans de nombreux cas, en montrant simplement la preuve de la certification !

COMMENT MON ORGANISATION PEUT-ELLE METTRE EN ŒUVRE UN MODÈLE DE PDCA OU INTÉGRER LA PDCA DANS SON PROGRAMME EXISTANT ?

Les lignes directrices suivantes peuvent vous aider à mettre en place un système de gestion de la continuité des activités dans votre organisation :

  • Mettre en place un comité de pilotage de la gestion interfonctionnelle
  • Parler dans la langue que la direction comprend
  • Comment ils perçoivent l’entreprise et ce qui est important pour eux
  • Rendez la continuité des activités pertinente et facile à comprendre – la simplicité est la clé !
  • Se concentrer sur les résultats de l’organisation (produits et services clés)
  • Établir des tolérances en matière de temps d’arrêt pour les produits et services clés
  • Expliquer la capacité actuelle des principaux produits et services pour permettre à la direction de prendre des mesures ou d’accepter les risques.
  • S’assurer que les objectifs sont réalistes et que la direction est disposée à dépenser les ressources nécessaires pour atteindre les objectifs.

CONCLUSIONS

Avec la popularité croissante et le succès continu des systèmes de gestion de la continuité des activités, cette approche et ce cadre s’avèrent être l’avenir de la continuité des activités. Les organisations qui s’efforcent de capter et de maintenir l’attention de la direction générale tireront une valeur considérable de la mise en œuvre d’un système de gestion de la continuité des activités. L’apport et le retour d’information continu augmenteront, tout comme les décisions et les ressources nécessaires pour répondre aux attentes de la direction. Le cadre des systèmes de gestion de la continuité des activités n’a qu’un seul objectif : fournir un programme de continuité des activités qui fonctionne, qui est flexible et qui est efficace.