Comment réaliser des revues de direction efficaces

Cette perspective examine un élément de la clause 9.3, la revue de direction (un processus que Riskonnect considère comme l'un des éléments les plus précieux de l'ISO 22301).

L'ISO 22301 est la première norme à utiliser le nouveau format ISO pour les normes de systèmes de management, ce qui implique une quantité considérable de contenu de système de management "modélisé" à travers dix clauses. Comme ce format, ce langage et de nombreuses exigences sont nouveaux pour la plupart des professionnels de la continuité des affaires, il est important d'examiner et de prendre en compte l'intention associée à certains contenus et concepts.

Cette perspective est la deuxième d'une série qui traite des éléments clés de la norme ISO 22301. système de gestion de la continuité des activitésIl s'agit notamment des éléments à valeur ajoutée de la norme ou des exigences qui pourraient faire trébucher une organisation au cours du processus de certification.

Aujourd'hui, nous allons nous pencher sur un élément de la clause 9.3, la revue de direction (un processus qui, selon Riskonnect, est l'un des éléments les plus précieux de l'ISO 22301).

Clause 9.3 - Revue de direction
La direction générale doit examiner le système de gestion de la conformité de l'organisation, à intervalles planifiés, afin de s'assurer qu'il reste approprié, adéquat et efficace. 

Robert Burns a écrit la citation suivante : "Les plans les mieux conçus des souris et des hommes tournent souvent mal". Dans aucune profession, cette idée n'est plus pertinente que dans le domaine de la continuité des activités. Ce qui vient immédiatement à l'esprit peut être l'inévitable déviation d'un plan de gestion de crise ou de continuité des activités bien conçu ou cet événement unique que même les plans les plus complets ne prévoient pas. Cette perspective se concentrera sur "l'autre" domaine qui peut faire dérailler l'efficacité non pas d'un seul plan, mais plutôt de tout un programme de continuité des affaires ou d'un système de gestion. Cet aspect insaisissable est tout simplement le manque de soutien et/ou de contribution de la part de la direction et des autres décideurs clés de toute organisation. Cette perspective vise à approfondir la question de l'obtention du soutien de la direction et des cadres par le biais du processus de revue de direction. Sans le soutien de la haute direction, le soutien aux initiatives de continuité des affaires, ainsi que les performances des solutions de continuité des affaires, déclineront rapidement.

La question qui se pose alors est la suivante : comment faire participer la "haute direction", obtenir le soutien du système de gestion de la continuité des activités et de ses initiatives, et s'assurer que les recommandations sont prises au sérieux sans être simplement repoussées lorsqu'il y a un prix à payer pour les efforts de préparation ? La réponse est apparemment plus facile à dire qu'à faire : il faut impliquer - de manière récurrente - la haute direction dans le processus de planification de la continuité des activités. La réalisation de revues de direction efficaces est un moyen d'atteindre cet objectif.

Composante clé de la norme ISO 22301, la revue de direction est un élément essentiel du système qui permet de s'assurer que la direction est consciente des aspects importants de l'effort de planification de la continuité des activités et qu'elle s'efforce de s'engager activement dans les problèmes, les résultats d'audit et les commentaires des clients (pour n'en citer que quelques-uns), ce qui permet de donner la priorité aux possibilités d'amélioration continue. Plus important encore, la revue de direction vise à sensibiliser, à établir des relations et à faire de la continuité des opérations un élément clé du programme de gestion des risques de l'organisation. Toutes les parties devraient pouvoir sortir d'une session de revue de direction en ayant le sentiment que l'organisation est en meilleure posture qu'au départ et que la continuité des opérations continuera à être une priorité - en se concentrant sur les bonnes choses au bon moment - dans toute l'organisation. Alors que la norme ISO 22301 énumère un ensemble assez complet de lignes directrices qui détaillent ce que la direction doit prendre en compte dans le cadre des revues de direction récurrentes, la liste suivante résume (paraphrasant) ces exigences :

• Veiller à ce que le système de gestion de la continuité des activités s'aligne sur les objectifs organisationnels et stratégiques.
• Identifier les moyens de rendre la continuité des activités plus simple et plus efficace
• Évitez l'utilisation du jargon et des acronymes.
• Assurer le suivi des problèmes antérieurs et veiller à ce que la direction soit consciente de toute déficience.
• Traiter tout retour d'information sur les incidents récents et les analyser pour trouver des points à améliorer.

Examinons-les en détail.

Veiller à ce que le système de gestion s'aligne sur les objectifs organisationnels et stratégiques
L'un des aspects les plus importants de la réalisation d'une revue de direction de la continuité des opérations est de ne pas oublier l'auditoire. Pour maximiser l'efficacité d'une revue de direction, le praticien en continuité des affaires doit penser en termes de produits et services essentiels et aligner les résultats du programme sur l'orientation stratégique globale de l'organisation. Il doit expliquer comment un système de gestion de la continuité des activités bien géré peut contribuer à la capacité continue de l'organisation à fournir des produits et services essentiels (et les conséquences si elle n'y parvient pas). Il est très facile de se perdre dans de fausses mesures qui ne démontrent pas de valeur en dehors de l'équipe de continuité des opérations. Bien que la documentation de mesures spécifiques au nombre d'entretiens BIA ou de mises à jour de plans ait sa place, il est souvent bien trop facile de s'attarder sur les chiffres sans tout relier à la capacité de récupération des produits et services essentiels fournis par l'organisation. À la fin de la session d'examen, la direction devrait avoir une meilleure compréhension des capacités de l'organisation à répondre à un incident perturbateur et à s'en remettre, et non pas seulement des départements ou des unités commerciales qui n'ont pas terminé la mise à jour de leur plan annuel.

Pour plus d'informations sur les métriques, consultez le site : Mesures de la continuité des activités

Simplifier et rendre plus efficace la continuité des activités
Soyons francs, la continuité des activités peut être complexe. La combinaison de la continuité des affaires et de la reprise après sinistre informatique peut être encore plus complexe. Lorsque vous élaborez des documents pour une revue de direction, veillez à rendre les choses aussi simples que possible. Si vous pouvez décrire un concept de continuité des opérations dans un langage courant, faites-le. La revue de direction est une occasion en or de vendre le programme de continuité des activités. Cependant, de nombreux praticiens ont tendance à submerger les non professionnels de la continuité des activités de leurs connaissances et de leur expertise en fournissant des détails inutiles qui font perdre rapidement l'intérêt des managers. Cette même mentalité peut s'appliquer non seulement à une revue de direction, mais aussi à tous les aspects d'un système de gestion de la continuité des activités bien géré. Si vous avez le choix entre un plan de reprise de 200 pages et une liste de contrôle contenant uniquement les informations essentielles, optez pour la liste de contrôle. La continuité des activités devrait consister à obtenir des résultats en cas de perturbation. Adaptez le slogan " faire plus avec moins " à votre programme et appliquez-le également au processus de revue de direction.

Éviter l'utilisation du jargon et des acronymes
Les professionnels de la continuité d'activité adorent les acronymes. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS, etc. Je pourrais continuer mais cela risquerait d'ennuyer ce public... ET, s'il serait ennuyeux pour moi de continuer à utiliser des acronymes dans cet article destiné aux professionnels de la continuité d'activité, pourquoi ces derniers continuent-ils à surcharger de ces mêmes termes les documents destinés à la direction ? Tout ce que cela fait, c'est diminuer la compréhension et l'intérêt et créer une situation qui pourrait potentiellement aliéner les managers et les parties prenantes clés ? Afin de simplifier les documents destinés à la direction, essayez d'éviter les acronymes dans la mesure du possible, surtout si vous avez affaire à des dirigeants dont les activités quotidiennes ne sont généralement pas liées à la continuité des opérations. Il s'agit de se rappeler qui est votre public. Une revue de direction est l'occasion de donner à la direction un aperçu du programme de continuité des activités et d'examiner les capacités de réponse et de récupération de l'organisation - en utilisant LEUR langage. Si la direction ne comprend pas ce que vous lui communiquez en raison d'un trop grand nombre de termes et d'acronymes spécifiques au secteur, cela crée un obstacle à la réalisation d'une revue de direction efficace et à l'obtention d'un soutien continu pour les initiatives de continuité des activités.

Suivi des questions précédentes
L'identification des possibilités d'amélioration et la révision des politiques et procédures constituent une partie importante du processus de revue de direction. Même si ces actions sont importantes, il est très facile de se perdre dans un océan d'actions planifiées, d'activités qui sont mises de côté ou retardées, ou de politiques et procédures obsolètes et trop complexes qui semblent être plus axées sur la planification pour le plaisir de la planification que sur l'amélioration réelle de la résilience de l'organisation. Ce n'est pas parce qu'un élément a été identifié comme devant être corrigé il y a cinq ans qu'il doit encore être achevé pour s'aligner sur les objectifs de l'organisation. Les revues de direction doivent être considérées comme une occasion de passer en revue les recommandations, de déterminer celles qui sont réellement pertinentes pour les objectifs et la direction stratégique de l'organisation, et d'apporter des changements en conséquence. Les éléments à améliorer ne doivent pas être pris en compte uniquement parce qu'ils figurent sur la liste des mesures à prendre, mais parce que, grâce aux mesures correctives, l'organisation en tirera un avantage tangible qui lui permettra d'atteindre ses principaux buts et objectifs. Le praticien de la continuité des activités peut contribuer à ce processus en examinant les points avant la réunion et en faisant des recommandations sur ceux qui pourraient être bénéfiques à l'organisation et ceux qui doivent être retirés de la liste. Cette approche permettra aux dirigeants d'approuver les recommandations à valeur ajoutée, ce qui aura une incidence positive sur vous. Et qui n'a pas envie d'être bien vu lors d'une réunion avec la direction de l'organisation ?

Aborder les incidents récents et les utiliser pour sensibiliser le public
À un moment ou à un autre, toute organisation est confrontée à une perturbation quelconque. Il peut s'agir d'un incident aussi mineur que l'évacuation forcée d'un bureau ou aussi important que la perte d'un centre de distribution pendant trois mois. La session de revue de direction doit être l'occasion d'aborder l'efficacité de la réponse et du rétablissement de l'organisation suite aux incidents récents. Tous les incidents fournissent un retour d'information qui peut être utilisé pour légitimer l'importance et l'efficacité d'un système de gestion de la continuité des activités et de ses stratégies. Les revues de direction doivent présenter une évaluation honnête de ce qui a bien fonctionné et de ce qui n'a pas fonctionné et fournir des recommandations pour aller de l'avant. Il peut être naturel de vouloir éviter d'examiner la réponse à un incident perturbateur, surtout s'il ne s'est pas déroulé comme prévu ; cependant, les difficultés doivent être abordées de manière à créer des résultats exploitables. La session de revue de direction crée un forum pour discuter de ces résultats. Une perturbation réelle peut être l'occasion de sensibiliser les parties prenantes et de s'assurer qu'elles comprennent l'intérêt de maintenir un programme solide de continuité des activités.

Conclusions
Les revues de direction sont une excellente occasion de faire le point sur l'état actuel de l'organisation, d'identifier les points à améliorer et de susciter un soutien pour les futures initiatives de continuité des activités. En se concentrant sur les besoins de l'auditoire et en veillant à aligner les activités de continuité des activités sur l'orientation stratégique globale de l'organisation, le professionnel de la continuité des activités peut considérer les hauts dirigeants comme des partenaires dans le processus de planification de la continuité des activités. Vos plans et initiatives n'ont pas besoin d'aller à vau-l'eau, si vous impliquez les bonnes parties prenantes et présentez les activités d'une manière pertinente pour les principaux décideurs de votre organisation.

Continuez à visiter notre blog pour d'autres articles de la série Conformité à l'ISO 22301 de Riskonnect.

En attendant, n'hésitez pas à contactez-nous pour discuter de l'alignement sur la norme ou de la poursuite de la certification. Nous sommes impatients d'avoir de vos nouvelles !