L'introduction de la norme ISO 22301 (Sécurité sociétale - Exigences - Système de management de la continuité des activités) aligne plus étroitement la continuité des activités sur la discipline plus large de la gestion des risques. L'exigence de la norme de comprendre l'"appétit pour le risque" de l'organisation (un terme qui n'est pas utilisé dans la BS 25999) est un facteur important de cet alignement.

La définition de l'appétit pour le risque de la norme ISO 22301 (section 3.49) est la "quantité et le type de risque qu'un organisme est prêt à poursuivre ou à conserver". La norme fait référence à l'appétit pour le risque dans deux sections :

En outre, les auteurs du document d'orientation soutenant la norme ISO 22301, intitulé ISO DIS 22313, font une référence supplémentaire à l'appétit pour le risque dans la section consacrée à l'établissement du contexte du système de management de la continuité des activités :

Pour ceux qui cherchent à s'aligner ou à être certifiés ISO 22301, les professionnels de la continuité des affaires (ou les personnes chargées de la planification de la continuité des affaires) doivent comprendre le concept d'appétit pour le risque et répondre aux exigences décrites ci-dessus.

Remarque : l'objectif de cet article n'est pas d'offrir une compréhension détaillée et théorique de l'appétit pour le risque, car d'autres livres blancs et sources d'information le font déjà, mais plutôt de présenter le concept aux professionnels de la continuité des affaires et d'offrir un aperçu de l'exploitation et de la " mise en œuvre " de ce concept dans notre profession.

La relation entre l'appétit pour le risque et la continuité des activités
Nous pensons que les contributeurs à la norme ISO 22301 ont intégré le concept d'appétit pour le risque ("montant et type de risque qu'un organisme est prêt à poursuivre ou à conserver") dans une norme de système de management de la continuité des activités pour deux raisons essentielles :

  1. Les organisations doivent considérer l'appétit pour le risque comme un concept global, intégrant tous les domaines de risque, y compris les risques liés à la continuité des activités et associés aux incidents perturbateurs.
  2. L'utilisation de l'appétit pour le risque afin de définir et de soutenir adéquatement un système de gestion de la continuité des activités permet d'aligner la continuité des activités sur la stratégie de l'organisation et sur d'autres efforts de gestion des risques, ce qui permet de mieux intégrer la continuité des activités dans une gestion des risques plus large.

En outre, lorsqu'il est correctement réalisé, l'appétit pour le risque devient une contribution majeure (et peut se chevaucher de manière significative) à la portée et aux objectifs d'un système de gestion de la continuité des activités.

Les clés pour déterminer l'appétit pour le risque
Comme indiqué ci-dessus, il existe de nombreuses sources d'information qui décrivent le concept d'appétit pour le risque et la meilleure approche pour déterminer l'appétit pour le risque d'une organisation. Riskonnect a analysé ces sources afin de mieux comprendre comment aider le plus efficacement possible ses clients à déterminer et à documenter leur appétit pour le risque dans le cadre de la planification de la continuité des activités, ainsi qu'à intégrer le concept dans son propre programme de continuité des activités (étant donné que nous sommes en train de passer de la norme BS 25999-2 à la norme ISO 22301 au sein de notre organisation). L'une des sources les plus précieuses que nous avons identifiées est un livre blanc publié par le Institut pour la gestion des risques (IRM)qui présente un certain nombre de facteurs de "conception" que les auteurs considèrent comme essentiels pour déterminer l'appétit pour le risque. Trois de ces facteurs de conception, ou considérations, sont paraphrasés ci-dessous, ce qui, selon nous, aide à mieux comprendre et déterminer l'appétit pour le risque :

  1. L'appétit d'une organisation pour le risque est - ou devrait être - mesurable.
  2. L'acceptabilité du risque doit être prise en compte dans le temps (temporel), afin de garantir une révision périodique (compte tenu des changements organisationnels et environnementaux).
  3. L'acceptation des risques ne devrait pas avoir de rapport avec l'assouplissement des contrôles (traitements des risques).

Ceci étant dit, et selon nous, certaines des sources d'information - autres que la direction générale - que les organisations devraient évaluer lorsqu'elles déterminent l'appétit pour le risque incluent :

  • Rapports annuels et états financiers
  • Contrats avec les clients
  • Exigences réglementaires
  • Plans stratégiques d'entreprise
  • Matériel de marketing
  • Procès-verbaux des réunions du conseil d'administration

Nous n'entrerons pas dans les détails de la détermination de l'appétit pour le risque, mais ceux qui recherchent des informations supplémentaires devraient envisager de consulter les documents suivants :

Exemple - Appétit pour le risque chez Riskonnect
En passant de la norme BS 25999-2 à la norme ISO 22301, nous avons dû comprendre comment l'appétit pour le risque se rapporte à notre système de management de la continuité des activités, étant donné qu'il s'agit d'une nouvelle exigence formalisée nécessaire à la certification. En utilisant les conseils et l'approche décrits dans la section précédente de cet article, nous avons documenté notre résumé de l'appétit pour le risque comme suit :

En 2012, nous sommes prêts à tolérer une quantité limitée de temps d'arrêt tant qu'il n'en résulte pas ce qui suit :

  1. Une mauvaise réputation auprès de nos clients qui entraîne une perception négative plus large du marché.
  2. Accords de niveau de service non respectés concernant le portail de planification, et Riskonnect
  3. Perte financière supérieure à $50.000
  4. Retards de projets de plus de trois jours dus à la perturbation des ressources et à la perte de données

Afin d'aligner notre programme existant de continuité des affaires avec cette déclaration concernant l'appétit pour le risque, la direction de Riskonnect a l'intention de doter en personnel et en ressources appropriées notre système de gestion de la continuité des affaires afin de minimiser les temps d'arrêt de la manière la plus efficace et pragmatique possible.

Comme indiqué plus haut dans cet article, cette déclaration s'aligne sur les considérations de conception de l'IRM, en particulier :

  • Il s'aligne sur nos produits et services, ainsi que sur les priorités stratégiques de notre organisation, et donc sur la portée de notre système de gestion de la continuité des activités.
  • Elle offre des méthodes quantifiables pour mesurer le risque
  • Il note un élément temporel (2012)
  • Il note que notre équipe de direction accepte un certain niveau de risque, ce qui libère des ressources pour améliorer nos activités, nos services et notre technologie, ainsi que pour investir dans notre personnel.
Planifiez votre démo

Conclusions
L'appétit pour le risque est un concept important qui comprend des éléments stratégiques, opérationnels et tactiques - qui ont tous un impact sur la mise en œuvre réussie et l'amélioration continue d'un système de gestion de la continuité des activités. La prise en compte de l'appétit pour le risque dans le cadre de la planification de la continuité d'activité permet d'aligner plus étroitement la continuité d'activité sur les efforts de gestion des risques, ce qui permet aux efforts de continuité d'activité de se concentrer principalement sur les risques que la direction n'est pas disposée à accepter en ce qui concerne les produits, les services, les processus opérationnels et les ressources importants (qu'une organisation doit clairement documenter dans son appétit pour le risque). La compréhension des limites - basées sur un niveau de risque acceptable - permet de cibler et de clarifier la planification, ce qui se traduit par des niveaux plus élevés d'efficacité et d'efficience dans la protection des activités les plus sensibles au temps ou les plus critiques d'une organisation.

De plus, le fait de considérer l'appétit pour le risque dans le contexte de la planification de la continuité des activités devrait aider la direction à cadrer la continuité des activités par rapport à la façon dont elle pense déjà au sujet plus large des risques pour l'organisation, le risque d'incidents perturbateurs n'étant qu'un facteur à prendre en compte. Aligner l'effort de continuité des activités sur la façon dont la direction pense déjà (à un niveau stratégique) devrait contribuer à une proposition de valeur plus forte et plus claire pour l'effort de préparation, ce qui devrait permettre un soutien et une implication à long terme de la direction.

En raison des avantages soulignés tout au long de cet article, Riskonnect estime que le concept d'appétit pour le risque est un ajout bienvenu à l'ISO 22301, et que les professionnels de la continuité des affaires doivent en apprendre davantage afin de participer activement à un effort plus large de gestion des risques.