L’implication de la direction n’est pas le seul moteur d’une performance organisationnelle reproductible. Des déclarations de politique courtes et concises définissent également les attentes et conduisent à des performances cohérentes. Par conséquent, Riskonnect constate que, quelle que soit la taille ou la culture d’une organisation, une déclaration de politique peut être un outil pour stimuler la performance du programme de continuité d’activité, en particulier dans les organisations où les professionnels de l’entreprise effectuent la planification de manière décentralisée. Cet article décrit les avantages, les objections et les recommandations d’une politique de continuité des activités à l’échelle de l’organisation.
Qu’est-ce qu’une politique de continuité des activités ?
Une politique de continuité des activités est un document rédigé pour transmettre les attentes de la direction, dans ce cas, en ce qui concerne les performances du programme de continuité des activités à long terme et axé sur le cycle de vie. Pour être efficace, elle doit être signée, communiquée et appliquée dans toute l’organisation par la direction générale. Le contenu d’une déclaration de politique générale doit rarement changer et est tel qu’il définit les actions particulières de chaque employé de l’organisation en rapport avec le programme de continuité d’activité. La déclaration de politique générale doit fournir une vue d’ensemble des objectifs et des attentes. Un nombre croissant d’organisations complètent la déclaration de politique générale par une charte et un cadre de programme examinés et approuvés par la direction. La charte et le cadre fournissent le niveau de détail supplémentaire nécessaire pour expliquer comment l’entreprise réalisera les activités clés du programme – à court et à long terme. De nombreuses organisations restent sceptiques quant à la nécessité d’une politique de continuité d’activité à l’échelle de l’entreprise, il est donc important de comprendre les avantages liés à la rédaction et à l’approbation d’une telle politique.
Que prévoit une police d’assurance ?
La reproductibilité est un facteur clé de tout programme mature et un élément essentiel de toute norme de continuité des activités réputée. C’est également un facteur clé de motivation pour la mise en place d’une politique de continuité des activités au sein d’une organisation. Une politique bien rédigée, décrivant les principaux acteurs du programme et leurs responsabilités, définit clairement les attentes du personnel chargé de la continuité des activités, de la direction générale, des principaux contributeurs au programme et de tous les autres employés. Une politique évite au programme de perdre un temps précieux à se réinventer année après année. Au contraire, elle permet à l’organisation d’aligner sa culture et ses opérations sur une vision unique, simple et reproductible de la résilience et de la capacité de récupération de l’organisation.
Parce que de nombreux programmes de continuité d’activité se battent pour attirer l’attention parmi toutes les autres priorités d’une organisation, le pire ennemi d’un programme de continuité d’activité peut être une exécution incohérente. Une exécution cohérente constitue la base d’un programme qui s’intègre à la stratégie de l’organisation, à ses opérations et même à d’autres disciplines de gestion des risques. Dans de nombreux cas, l’efficacité d’un programme est aussi forte que son maillon le plus faible. Par exemple, un programme qui met régulièrement à jour la documentation du plan, mais qui n’effectue pas d’exercices ou ne forme pas son personnel, continue à prendre des risques inutiles pour l’entreprise. Les déclarations de politique générale fixent des objectifs d’organisation et de gestion qui, à leur tour, fournissent la motivation nécessaire pour mener à bien les activités de continuité d’activité requises et éliminer ce risque.
L’évaluation comparative des programmes de continuité des activités est un véritable défi. Lorsque l’on compare les capacités et les éléments d’un programme dans l’ensemble de l’organisation, il peut être difficile d’évaluer les progrès ou les performances ; cependant, la politique peut servir de référence interne pour l’examen du programme par la direction. Chaque année, la politique doit être revue et réévaluée à la lumière de la vision stratégique que la direction définit pour l’organisation et le programme de continuité des activités. Ce processus de révision et de mise à jour de la politique, si nécessaire, fournit un point de référence actualisé et mesurable sur la façon dont le programme de continuité des activités s’aligne sur les objectifs de l’organisation. Lorsque le cliché » ce qui est mesuré est fait » trouve un écho favorable auprès de la direction générale, le programme de continuité d’activité peut s’appuyer sur sa politique pour fournir une évaluation mesurable de ses performances.
Une politique de continuité des activités peut également jouer un rôle important en donnant une vision de la continuité organisationnelle et de la capacité de récupération lorsque le personnel dédié au programme est peu nombreux, voire inexistant. Lorsqu’elle est communiquée à l’ensemble de l’organisation, la politique fournit un ensemble commun d’attentes.
De même, les secteurs qui ne sont pas soumis à des exigences réglementaires en matière de continuité des activités ne sont pas toujours aussi incités à prendre en compte les risques liés à la continuité des activités que ceux qui sont soumis à des exigences strictes. Par exemple, le secteur bancaire américain a un mandat externe pour répondre aux exigences énoncées dans le manuel de continuité d’activité de la FFIEC, et les résultats ont produit certaines des organisations les plus résilientes et des programmes de continuité d’activité les plus matures au monde. Une politique de continuité des activités peut devenir la norme et l’incitation dont une organisation non réglementée a besoin pour propulser son programme vers le même niveau de réussite.
Quelles sont les objections à une politique ?
Les objections à l’élaboration d’une politique de continuité des activités sont souvent d’ordre culturel. Dans la plupart des cas, les objections aux déclarations de politique sont dues au fait que l’organisation a peu de politiques régissant d’autres activités. Ces préoccupations sont compréhensibles dans les organisations qui ne disposent pas de politiques dans le format décrit ci-dessus ou dans les cultures où la politique seule n’a pas le pouvoir de créer le changement. Dans ces situations, des méthodes moins formelles de communication des attentes peuvent suffire, même si l’outil n’est pas une déclaration de politique formelle. Un alignement sur une norme approuvé par la direction peut être la solution, de même qu’un courriel ou une lettre moins formelle d’un cadre supérieur. Dans l’ensemble, il faudra peut-être faire preuve d’un peu de créativité, mais un mandat approuvé par la direction est nécessaire pour mettre en place un programme reproductible qui exécute de manière cohérente les éléments nécessaires du programme, permet de mesurer les performances et de communiquer clairement les attentes du programme.
Recommandation de politique
Qu’une organisation ait ou non l’habitude de créer des déclarations de politique, la direction devrait envisager de développer des attentes formelles en matière de programme de continuité d’activité. Lorsque cela est bien fait, toutes les parties prenantes d’une organisation s’alignent sur un ensemble commun d’attentes. Étant donné que relativement peu d’organisations emploient une équipe de professionnels dédiés à la continuité d’activité, il est essentiel de définir les attentes de la direction à l’égard d’un programme décentralisé. Une politique doit être élaborée, approuvée, révisée fréquemment et communiquée à toutes les parties prenantes internes afin de garantir la priorité et la durabilité d’un programme de continuité des activités qui protège les intérêts critiques de l’organisation.
