Comment déterminer l'appétit pour le risque dans le contexte de la continuité des activités ?

L’introduction de la norme ISO 22301 (Sécurité sociétale – Exigences – Système de management de la continuité d’activité) aligne plus étroitement la continuité d’activité sur la discipline plus large de la gestion des risques. L’exigence de la norme de comprendre l' »appétit pour le risque » de l’organisation (un terme qui n’est pas utilisé dans la norme BS 25999) contribue grandement à cet alignement.

La définition de l’appétence au risque de l’ISO 22301 (section 3.49) est la « quantité et le type de risque qu’un organisme est prêt à poursuivre ou à conserver ». La norme fait référence à l’appétence pour le risque dans deux sections :

En outre, les auteurs du document d’orientation de la norme ISO 22301, intitulé ISO DIS 22313, font une référence supplémentaire à l’appétit pour le risque dans la section consacrée à l’établissement du contexte du système de gestion de la continuité des activités :

Pour ceux qui cherchent à s’aligner sur la norme ISO 22301 ou à obtenir une certification, les professionnels de la continuité des activités (ou ceux qui sont chargés de la planification de la continuité des activités) doivent comprendre le concept d’appétence pour le risque et répondre aux exigences énoncées ci-dessus.

Veuillez noter que l’objectif de cet article n’est pas d’offrir une compréhension détaillée et théorique de l’appétit pour le risque, puisque d’autres livres blancs et sources d’information le font déjà, mais plutôt d’introduire le concept aux professionnels de la continuité d’activité et d’offrir un aperçu de l’utilisation et de la « mise en œuvre » de ce concept dans notre profession.

La relation entre l’appétit pour le risque et la continuité des activités
Nous pensons que les auteurs de la norme ISO 22301 ont intégré le concept d’appétit pour le risque (« quantité et type de risque qu’une organisation est prête à poursuivre ou à conserver ») dans une norme de système de gestion de la continuité des activités pour deux raisons essentielles :

Les organisations devraient considérer l’appétence pour le risque comme une notion globale, qui englobe tous les domaines de risque, y compris les risques liés à la continuité de l’activité en cas d’incidents perturbateurs.
L’utilisation de l’appétit pour le risque pour définir et soutenir de manière adéquate un système de gestion de la continuité des activités permet d’aligner la continuité des activités sur la stratégie de l’organisation et sur d’autres efforts de gestion des risques, ce qui permet à la continuité des activités de mieux s’intégrer dans la gestion des risques au sens large.

En outre, lorsqu’elle est bien gérée, l’appétence pour le risque devient un élément majeur du champ d’application et des objectifs d’un système de gestion de la continuité de l’activité (et peut se recouper de manière significative avec eux).

Clés pour déterminer l’appétit pour le risque
Comme indiqué ci-dessus, il existe de nombreuses sources d’information qui décrivent le concept d’appétit pour le risque et la meilleure approche pour déterminer l’appétit pour le risque d’une organisation. Riskonnect a analysé ces sources pour mieux comprendre comment aider le plus efficacement possible ses clients à déterminer et à documenter leur appétit pour le risque dans le cadre de la planification de la continuité des activités, ainsi que pour intégrer le concept dans son propre programme de continuité des activités (étant donné que notre organisation passe activement de la norme BS 25999-2 à la norme ISO 22301). L’une des sources les plus précieuses que nous ayons identifiées est un livre blanc publié par l’ Institute for Risk Management (IRM), qui présente un certain nombre de facteurs de « conception » que les auteurs considèrent comme essentiels pour déterminer l’appétit pour le risque. Trois de ces facteurs de conception, ou considérations, sont paraphrasés ci-dessous, ce qui, selon nous, aide à mieux comprendre et déterminer l’appétit pour le risque :

L’appétit pour le risque d’une organisation est – ou devrait être – mesurable.
L’acceptabilité du risque doit être prise en compte dans le temps (temporel), afin de garantir un réexamen périodique (compte tenu des changements organisationnels et environnementaux).
L’acceptation des risques ne devrait pas avoir de rapport avec l’assouplissement des contrôles (traitement des risques).

Ceci étant dit, et à notre avis, les sources d’information – autres que la direction générale – que les organisations devraient évaluer lorsqu’elles déterminent leur appétit pour le risque sont les suivantes :

Rapports annuels et états financiers
Contrats avec les clients
Exigences réglementaires
Plans stratégiques d’entreprise
Matériel de marketing
Procès-verbaux des réunions du conseil d’administration

Nous n’entrerons pas dans le détail de la détermination de l’appétence au risque, mais les personnes qui souhaitent obtenir des informations supplémentaires peuvent consulter les documents suivants :

Exemple – Appétence pour le risque chez Riskonnect
En passant de BS 25999-2 à ISO 22301, nous avons dû comprendre comment l’appétence pour le risque se rapporte à notre système de gestion de la continuité des activités, étant donné qu’il s’agit d’une nouvelle exigence formalisée nécessaire à la certification. En utilisant les conseils et l’approche décrits dans la section précédente de cet article, nous avons documenté notre appétit pour le risque comme suit :

En 2012, nous sommes prêts à tolérer un nombre limité de temps d’arrêt tant qu’ils n’entraînent pas les conséquences suivantes :

Une réputation ternie auprès de nos clients, qui entraîne une perception négative plus large du marché.
Les accords de niveau de service spécifiques au portail de planification et à Riskonnect n’ont pas été respectés.
Perte financière supérieure à 50 000
Retards de projets de plus de trois jours dus à l’interruption des ressources et à la perte de données

Afin d’aligner notre programme de continuité des activités sur la présente déclaration relative à l’appétit pour le risque, la direction de Riskonnect a l’intention de doter son système de gestion de la continuité des activités d’un personnel et de ressources appropriés afin de minimiser les temps d’arrêt de la manière la plus efficace et la plus pragmatique possible.

Comme indiqué précédemment dans cet article, cette déclaration s’aligne sur les considérations relatives à la conception de l’IRM, en particulier :

Il s’aligne sur nos produits et services, ainsi que sur les priorités stratégiques de notre organisation, et donc sur le champ d’application de notre système de gestion de la continuité des activités.
Elle offre des méthodes quantifiables pour mesurer le risque
Il note un élément temporel (2012)
Il indique que notre équipe de direction accepte un certain niveau de risque, ce qui libère des ressources pour améliorer nos activités, nos services et notre technologie, ainsi que pour investir dans notre personnel.

Planifiez votre démonstration

Conclusions
L’appétit pour le risque est un concept important qui comprend des éléments stratégiques, opérationnels et tactiques – qui ont tous un impact sur la mise en œuvre réussie et l’amélioration continue d’un système de gestion de la continuité d’activité. La prise en compte de l’appétit pour le risque dans le cadre de la planification de la continuité d’activité permet d’aligner plus étroitement la continuité d’activité sur les efforts de gestion des risques, ce qui permet aux efforts de continuité d’activité de se concentrer principalement sur les risques que la direction n’est pas disposée à accepter en ce qui concerne les produits, les services, les processus d’entreprise et les ressources importants (tous ces éléments devraient être clairement documentés dans l’appétit pour le risque d’une organisation). Comprendre les limites – basées sur un niveau de risque acceptable – permet de mieux cibler et clarifier la planification, ce qui se traduit par des niveaux plus élevés d’efficacité et d’efficience dans la protection des activités les plus sensibles au temps ou les plus critiques d’une organisation.

En outre, la prise en compte de l’appétit pour le risque dans le contexte de la planification de la continuité des activités devrait aider la direction à cadrer la continuité des activités par rapport à la manière dont elle envisage déjà le sujet plus large des risques pour l’organisation, le risque d’incidents perturbateurs n’étant qu’un des facteurs à prendre en considération. L’alignement de l’effort de continuité d’activité sur la façon dont la direction pense déjà (au niveau stratégique) devrait contribuer à une proposition de valeur plus forte et plus claire pour l’effort de préparation, ce qui devrait permettre un soutien à long terme et l’implication de la direction.

En raison des avantages décrits dans cet article, Riskonnect estime que le concept d’appétit pour le risque est un ajout bienvenu à la norme ISO 22301, et que les professionnels de la continuité des activités doivent en apprendre davantage afin de participer activement à un effort plus large de gestion des risques.

Comment déterminer l’appétit pour le risque dans le contexte de la continuité des activités ?

Share This, Choose Your Platform!

Related Posts

La directive NIS2 : ce qu’elle signifie pour votre programme de cyber-résilience

Moderniser l’analyse d’impact sur l’activité : 10 questions pour mettre à jour votre stratégie

Lancez la conversation : le pouvoir de connecter le risque et la résilience