Cet article donne un aperçu de GPG Professional Practice 1 (PP1) - Gestion des politiques et des programmesElle traite de l'importance et des recommandations pour établir les bases d'un programme de continuité des activités reproductible et évolutif.

APERÇU DU PP1

Le PP1 décrit un certain nombre d'activités que les organisations devraient envisager de réaliser avant d'effectuer les activités de planification de la continuité des opérations (de l'analyse de l'impact sur les opérations à l'exercice) :

  • DÉFINIR UNE POLITIQUE DE CONTINUITÉ DES ACTIVITÉS qui "communique aux parties intéressées les principes auxquels l'organisation aspire" en exposant le but et les objectifs du programme de continuité des opérations. Un énoncé de politique de programme solide doit être court et succinct tout en fournissant les détails nécessaires du programme par rapport auxquels sa performance peut être mesurée. Le PP1 suggère que les politiques fournissent à l'organisation les éléments suivants définition de la continuité des activitésL'objectif est de déterminer la portée du programme, les parties concernées et la manière dont le programme sera géré.
  • DÉTERMINER L'ÉTENDUE DU PROGRAMME qui définit "ce que [le programme] est censé protéger et l'étendue maximale des dommages, pertes ou interruptions auxquels l'organisation peut raisonnablement survivre". Souvent, les entreprises choisissent de concentrer leur programme de continuité d'activité sur un sous-ensemble de l'organisation (plutôt que sur l'ensemble de l'organisation), la direction choisissant généralement les produits ou services les plus importants de l'organisation (par exemple, les produits générateurs de revenus, les produits destinés à l'extérieur). Une déclaration de portée bien élaborée documente clairement ce qui est et n'est pas (exclusions) inclus dans le programme. Cela permet de concentrer les ressources sur ce qui est le plus important et le plus urgent, et d'éviter que les activités de planification (par exemple, l'élaboration du plan) ne se déroulent en dehors des limites du programme approuvé.
  • DÉFINIR LA GOUVERNANCE qui établit un programme soutenu par la direction. Cela permet de s'assurer que la direction dirige continuellement la mise en œuvre du programme et contrôle/valide les performances et les résultats du programme. Le soutien requis de la direction peut comprendre l'approbation du budget ou des investissements nécessaires, la fourniture d'un personnel adéquat, la participation à des activités de programme très visibles et l'examen régulier des résultats du programme.
  • MISE EN ŒUVRE D'UN PROGRAMME B.C.M qui est durable, reproductible et basé sur une portée et des objectifs approuvés par la direction. Dans le cadre de la mise en œuvre du programme, les praticiens doivent intégrer les parties prenantes (p. ex. présentation, introduction au programme ou simulation), exécuter les éléments du programme (p. ex. analyse de l'impact sur les affaires, élaboration du plan et activités de test), sensibiliser les employés et assurer une amélioration continue en adoptant des techniques de gestion de projet/programme.
  • ATTRIBUTION DE RÔLES ET RESPONSABILITÉS à des personnes capables de mettre en œuvre et de maintenir correctement le programme de continuité des opérations conformément aux attentes de la direction. Dans le cadre du processus d'intégration du personnel, la direction doit s'assurer que le personnel affecté possède les compétences nécessaires en fonction de son rôle dans le programme de continuité des opérations ; si ce n'est pas le cas, le personnel doit rechercher et obtenir la formation interne ou externe nécessaire.
  • ADOPTER DES TECHNIQUES DE GESTION DE PROJET ET DE PROGRAMME pour permettre un lancement cohérent du projet qui réponde aux attentes de la direction et respecte les délais et les budgets approuvés. Pour ce faire, le personnel doit établir une liste des éléments de gestion du programme, tels que l'objectif, la portée, le calendrier, les tâches, le personnel, les ressources et les jalons, et s'assurer que ces éléments sont correctement identifiés avant le lancement du projet. Une fois les projets terminés et le programme entièrement mis en œuvre, le personnel doit poursuivre un cycle d'amélioration continue pour garantir l'efficacité du programme, ce qui peut se faire par des auto-évaluations régulières, des audits ou des études comparatives.
  • GÉRER LES ACTIVITÉS EXTERNALISÉES ET LA CONTINUITÉ DE LA CHAÎNE D'APPROVISIONNEMENT pour minimiser l'impact organisationnel lors d'un incident affectant un tiers sur lequel l'organisation compte. Les organisations peuvent choisir (et devraient) de présélectionner les fournisseurs entrants en examinant et en évaluant leur programme de continuité des activités et leur documentation, et elles devraient régulièrement surveiller les accords de niveau de service et les stratégies de récupération des fournisseurs pour s'assurer qu'ils répondent aux attentes internes.
  • GÉRER LA DOCUMENTATION DU PROGRAMME afin que les documents soient cohérents et faciles à utiliser. Selon la taille de l'organisation, certains praticiens choisissent d'utiliser un logiciel pour tenir à jour la documentation interne sur la continuité des activités (par exemple, les BIA et les plans). Quelle que soit la méthode utilisée, les organisations doivent veiller à ce que toute la documentation nécessaire soit élaborée, accessible à toutes les parties participantes et revue/réactualisée régulièrement.

PP1 VALUE

Le PP1 contient un ensemble d'éléments fondamentaux nécessaires pour que la continuité des opérations s'aligne sur la stratégie de l'organisation. Le PP1 contribue également à la mise en place d'un processus de planification reproductible permettant d'obtenir des résultats en matière de continuité des opérations conformes aux besoins et aux attentes des parties prenantes.

Sans les résultats du PP1, le programme de continuité des opérations manquerait d'orientation et de priorité, et il est probable que les participants au programme hésiteraient quant à la nature de leur rôle et à la meilleure façon de s'engager dans l'effort de planification.

Aperçu de la valeur du PP1 :

  • UNE POLITIQUE ALIGNE LE PROGRAMME DE CONTINUITÉ DES ACTIVITÉS SUR LES MEILLEURES PRATIQUES DU SECTEUR. Les professionnels de l'industrie développent des meilleures pratiques et des normes (par exemple, les Bonnes Pratiques de BCI et l'ISO 22301) basées sur des pratiques et des directives communes à divers secteurs, pays et considérations organisationnelles. Les praticiens qui suivent les meilleures pratiques en matière de développement de programmes contribuent à garantir que le programme de continuité des activités de l'organisation reflète les stratégies communes et éprouvées de l'industrie ainsi que l'évolution des menaces et de l'environnement de planification.
  • UNE POLITIQUE FOURNIT UNE ASSURANCE AUX CLIENTS. De nombreuses organisations exigent de leurs vendeurs et fournisseurs qu'ils disposent d'un programme établi de continuité des activités afin d'assurer la continuité des fournisseurs et des vendeurs. Une politique de programme établie fournit à l'organisation un résumé cohérent et concis de son programme qui peut être fourni aux clients ou aux consommateurs à titre de référence.
  • UNE POLITIQUE ASSURE LA COHÉRENCE DU PROGRAMME. Les grandes entreprises choisissent souvent de mettre en place une équipe internationale dédiée à la continuité des activités, ou de faire appel à du personnel de soutien local/régional pour aider au déploiement du programme. Une déclaration de politique claire définit les attentes de tous les employés et participants au programme dans l'organisation, assure une exécution cohérente du programme et communique les objectifs, les moteurs et les attentes de la direction. En outre, des activités de programme, des stratégies de gestion de projet, des rôles et des responsabilités bien établis contribuent également à cet effort.
  • UNE POLITIQUE ASSURE LA RÉPÉTABILITÉ DU PROGRAMME. Une déclaration de politique bien élaborée qui définit clairement la portée, les participants et les activités du programme empêche la direction de redéfinir et de réinventer le programme année après année. Bien que le programme lui-même doive être modifié pour refléter l'évolution des priorités ou des menaces de l'organisation, une politique documentée fournit à la direction une base de référence à examiner et à modifier, le cas échéant.
  • UNE POLITIQUE ENGAGE LA DIRECTION ET S'ASSURE DE SON SOUTIEN. L'adhésion de la direction est essentielle pour améliorer le programme et prendre en compte les changements permanents afin de s'adapter à l'évolution des menaces tout en respectant les engagements internes et externes. L'adhésion de la direction permet également de sensibiliser l'organisation et de diriger les activités du programme. L'adoption d'une politique approuvée par la direction permet de maintenir l'élan et d'aligner les stratégies de planification sur les priorités organisationnelles.

PP1 ETUDE DE CAS

Lorsque les organisations décident de mettre en œuvre un programme de continuité des activités, beaucoup ont tendance à sauter directement aux éléments tactiques du programme (tels que la réalisation d'une analyse d'impact sur les activités et l'élaboration de plans), ignorant ainsi la nécessité d'établir d'abord une base solide sur laquelle construire ces éléments de programme. Bien que les éléments tactiques soient souvent les plus visibles, il existe de multiples raisons pour lesquelles une organisation devrait faire l'effort de suivre les conseils fournis dans le PP1.

L'étude de cas suivante montre pourquoi les organisations ont intérêt à établir un programme et une politique reproductibles avant de passer directement à la mise en œuvre des éléments tactiques du cycle de vie de la continuité des opérations.

Le conseil d'administration de la société X a émis une directive pour que l'organisation mette en place un programme de continuité des activités. Pour se conformer à cette directive, l'organisation a chargé une ressource interne, le coordinateur de la continuité des activités, d'entamer ce processus. Après avoir lu un certain nombre d'articles sur le Web, le coordinateur a décidé de commencer par effectuer l'analyse de l'impact sur les activités et de rédiger la documentation du plan de continuité des activités. Une fois la documentation du plan finalisée, le coordinateur s'est rendu compte de quelques préoccupations majeures :

  • Elle ne savait pas si l'organisation pouvait réellement répondre aux attentes de la direction en cas d'incident perturbateur.
  • Elle a réalisé que ses efforts étaient une évaluation ponctuelle et qu'elle ne savait pas comment les efforts allaient se poursuivre après l'effort initial.
  • Elle ne pensait pas que l'organisation était en fait dans une meilleure position qu'avant ses efforts parce qu'elle n'avait pas investi de ressources pour avoir des capacités de récupération réelles (par exemple, un espace de travail alternatif ou une reprise après sinistre informatique).
  • Les personnes qu'elle souhaitait initialement voir participer aux efforts n'ont pas réellement participé car elles ont délégué à des niveaux inférieurs de l'organisation.

En raison de ces préoccupations, la coordinatrice de la continuité des opérations a commencé à effectuer des recherches supplémentaires et à parler à des groupes industriels. Ces recherches supplémentaires lui ont permis de réaliser qu'elle n'avait pas établi de programme avant de réaliser des activités spécifiques à la continuité des opérations. Par conséquent, elle n'a pas obtenu les résultats qu'elle espérait obtenir. La coordinatrice a alors pris du recul et a mis en place les actions suivantes :

  • Elle a élaboré, présenté et obtenu l'approbation de la haute direction pour sa politique de continuité des activités, qui a été publiée et communiquée à l'organisation.
  • Elle a élaboré des procédures d'exploitation standard, qui décrivent le processus par lequel elle a mis en œuvre les activités de continuité des activités afin de s'assurer que le processus se répète régulièrement.
  • Création d'un comité de pilotage qui a contribué à la définition de la portée du programme et des tolérances en matière de temps d'arrêt, a examiné et approuvé les résultats et les investissements, a assuré le leadership et a garanti le niveau de participation et de soutien approprié.

Suite à ces actions, le coordinateur a constaté que le programme était aligné sur les objectifs stratégiques de l'organisation, qu'il était soutenu par les niveaux appropriés de la haute direction de l'organisation et qu'il pouvait réellement répondre aux attentes des parties prenantes internes et externes lors d'un incident perturbateur réel.

CONCLUSION

Les conseils trouvés dans les bonnes pratiques de BCI aident les praticiens à comprendre et à mettre en œuvre le programme tout en assurant la cohérence avec les normes internationales trouvées dans l'ISO 22301.