Cette perspective examine un élément de la clause 9.3, la revue de direction (un processus que Riskonnect considère comme l’un des éléments les plus précieux de la norme ISO 22301).

La norme ISO 22301 est la première à utiliser le nouveau format ISO pour les normes de systèmes de management, qui implique une quantité considérable de contenu de système de management « modélisé » à travers dix clauses. Comme ce format, ce langage et de nombreuses exigences sont nouveaux pour la plupart des professionnels de la continuité des activités, il est important d’examiner et de prendre en compte l’intention associée à certains contenus et concepts.

Ce point de vue est le deuxième d’une série consacrée aux éléments clés du système de management de la continuité des activités de la norme ISO 22301, y compris les éléments à valeur ajoutée de la norme ou les exigences qui pourraient « faire trébucher » une organisation au cours du processus de certification.

Aujourd’hui, nous allons nous pencher sur un élément de la clause 9.3, la revue de direction (un processus que Riskonnect considère comme l’un des éléments les plus précieux de la norme ISO 22301).

Clause 9.3 – Revue de direction
La direction générale doit passer en revue le SMCA de l’organisme, à intervalles planifiés, afin de s’assurer qu’il reste adapté, adéquat et efficace.

Robert Burns a écrit la citation suivante : « Les plans les mieux conçus des souris et des hommes tournent souvent mal ». Dans aucune profession, cette idée n’est plus pertinente que dans le domaine de la continuité des activités. Ce qui vient immédiatement à l’esprit peut être l’inévitable déviation d’un plan de gestion de crise ou de continuité des activités bien conçu, ou cet événement qui survient une fois par million et que même les plans les plus complets n’ont pas pris en compte. Cette perspective se concentrera sur « l’autre » domaine qui peut faire dérailler l’efficacité non seulement d’un plan, mais aussi d’un programme ou d’un système de gestion de la continuité des activités dans son ensemble. Cet aspect insaisissable est tout simplement le manque de soutien et/ou de contribution de la part de la direction et des autres décideurs clés de toute organisation. Cette perspective vise à approfondir la question de l’obtention du soutien de la direction et des cadres par le biais du processus de revue de direction. Sans le soutien de la direction, le soutien aux initiatives de continuité d’activité, ainsi que la performance des solutions de continuité d’activité, déclineront rapidement.

La question qui se pose alors est de savoir comment impliquer le « top management », obtenir le soutien du système de gestion de la continuité des activités et de ses initiatives, et s’assurer que les recommandations sont prises au sérieux sans être simplement repoussées lorsqu’il s’avère qu’il y a un prix à payer pour les efforts de préparation. La réponse est apparemment plus facile à dire qu’à faire : il s’agit d’impliquer – de manière récurrente – la haute direction dans le processus de planification de la continuité des activités. La réalisation de revues de direction efficaces est un moyen d’atteindre cet objectif.

Composante clé de la norme ISO 22301, la revue de direction est un élément essentiel des systèmes qui permet de s’assurer que la direction est consciente des aspects importants de l’effort de planification de la continuité des activités et qu’elle s’engage activement dans les questions, les résultats d’audit et le retour d’information des clients (pour n’en citer que quelques-uns), ce qui conduit à la priorisation des opportunités d’amélioration continue. Peut-être plus important encore, la revue de direction vise à sensibiliser, à établir des relations et à faire de la continuité des activités un élément clé du programme de gestion des risques de l’organisation. Toutes les parties devraient pouvoir sortir d’une session de revue de direction avec le sentiment que l’organisation se porte mieux qu’au départ et que la continuité d’activité continuera d’être une priorité – en se concentrant sur les bonnes choses au bon moment – dans l’ensemble de l’organisation. Bien que la norme ISO 22301 énumère un ensemble assez complet de lignes directrices qui détaillent ce que la direction doit prendre en compte dans le cadre des revues de direction récurrentes, la liste suivante résume (paraphrase) ces exigences :

  • Veiller à ce que le système de gestion de la continuité des activités s’aligne sur les objectifs organisationnels et stratégiques.
  • Identifier les moyens de rendre la continuité des activités plus simple et plus efficace
  • Évitez l’utilisation de jargon et d’acronymes.
  • Assurer le suivi des problèmes antérieurs et veiller à ce que la direction soit informée de toute lacune.
  • Traiter tout retour d’information concernant des incidents récents et les analyser pour déterminer les domaines d’amélioration.

Nous allons nous pencher plus en détail sur chacun d’entre eux.

S’assurer que le système de management s’aligne sur les objectifs organisationnels et stratégiques
L’un des aspects les plus importants de la conduite d’une revue de management de la continuité d’activité est de ne pas perdre de vue l’auditoire. Pour maximiser l’efficacité d’une revue de direction, le praticien de la continuité d’activité doit penser en termes de produits et services critiques et aligner les résultats du programme sur l’orientation stratégique globale de l’organisation. Le praticien de la continuité d’activité doit expliquer comment un système de gestion de la continuité d’activité bien géré peut contribuer à la capacité continue de l’organisation à fournir des produits et des services clés (et les implications si elle ne le fait pas). Il est très facile de se perdre dans de fausses mesures qui ne démontrent pas de valeur en dehors de l’équipe de continuité d’activité. S’il est vrai que la documentation des indicateurs spécifiques au nombre d’entretiens BIA ou de mises à jour de plans a sa place, il est souvent beaucoup trop facile de s’attarder sur les chiffres sans tout relier à la capacité de récupération des produits et services de base fournis par l’organisation. À la fin de la session d’examen, la direction devrait avoir une meilleure compréhension des capacités de l’organisation à répondre à un incident perturbateur et à s’en remettre, et pas seulement des départements ou des unités opérationnelles qui n’ont pas terminé la mise à jour de leur plan annuel.

Pour plus d’informations sur les mesures, consultez le site : Indicateurs de continuité des activités

Rendre la continuité des activités plus simple et plus efficace
Soyons réalistes : la continuité des activités peut être complexe. La combinaison de la continuité des activités et de la reprise après sinistre informatique peut s’avérer encore plus complexe. Lorsque vous élaborez des documents pour une revue de direction, veillez à rendre les choses aussi simples que possible. Si vous pouvez décrire un concept de continuité d’activité dans un langage courant, faites-le. La revue de direction est une occasion en or de vendre le programme de continuité d’activité ; cependant, de nombreux praticiens ont tendance à submerger les non-professionnels de la continuité d’activité avec leurs propres connaissances et leur expertise en fournissant des détails inutiles qui font que les gestionnaires perdent rapidement tout intérêt. Cette même mentalité peut s’appliquer non seulement à la revue de direction, mais aussi à tous les aspects d’un système de gestion de la continuité des activités bien géré. Si vous avez le choix entre un plan de reprise de 200 pages et une liste de contrôle ne contenant que les informations essentielles, optez pour la liste de contrôle. La continuité des activités doit permettre d’obtenir des résultats en cas de perturbation. Adaptez le slogan « faire plus avec moins » à votre programme et appliquez-le également au processus de révision de la gestion.

Évitez l’utilisation du jargon et des acronymes
Les professionnels de la continuité des affaires adorent les acronymes. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS, etc. Je pourrais continuer, mais cela ennuierait probablement ce public… ET, s’il est ennuyeux pour moi de continuer à utiliser des acronymes dans cet article destiné aux professionnels de la continuité d’activité, pourquoi ces derniers continuent-ils à surcharger de ces mêmes termes les documents destinés à la direction ? Tout ce que cela fait, c’est diminuer la compréhension et l’intérêt et créer une situation qui pourrait potentiellement aliéner les gestionnaires et les parties prenantes clés ? Pour simplifier les documents destinés à la direction, évitez autant que possible les acronymes, surtout si vous avez affaire à des dirigeants dont les activités quotidiennes ne sont généralement pas liées à la continuité d’activité. Cela revient à se rappeler qui est votre public. Une revue de direction est l’occasion de donner à la direction un aperçu du programme de continuité d’activité et d’examiner les capacités de réponse et de reprise de l’organisation – en utilisant LEUR langage. Si la direction ne comprend pas ce que vous lui transmettez à cause d’un trop grand nombre de termes et d’acronymes spécifiques à l’industrie, cela crée un obstacle à la conduite d’une revue de direction efficace et à l’obtention d’un soutien continu pour les initiatives de continuité d’activité.

Suivi des questions précédentes
L’identification des possibilités d’amélioration et la révision des politiques et des procédures constituent une partie importante du processus de révision de la gestion. Même si ces actions sont importantes, il est très facile de se perdre dans une mer d’actions planifiées, d’activités qui sont mises de côté ou retardées, ou de politiques et procédures obsolètes et trop complexes qui semblent plus axées sur la planification pour la planification que sur l’amélioration réelle de la résilience de l’organisation. Ce n’est pas parce qu’un élément a été identifié pour être corrigé il y a cinq ans qu’il doit encore être achevé pour s’aligner sur les objectifs de l’organisation. Les revues de direction doivent être considérées comme une occasion de passer en revue les recommandations, de déterminer celles qui sont réellement pertinentes pour les objectifs et l’orientation stratégique de l’organisation, et d’apporter des changements en conséquence. Les éléments identifiés pour être améliorés ne doivent pas être pris en compte uniquement parce qu’ils figurent sur la liste des actions à entreprendre, mais parce que, grâce aux mesures correctives, l’organisation en tirera un avantage tangible qui contribuera à la réalisation de ses principaux buts et objectifs. Le praticien de la continuité d’activité peut contribuer à ce processus en examinant les points avant la réunion et en faisant des recommandations sur les points qui pourraient bénéficier à l’organisation et sur ceux qui devraient être retirés de la liste. Cette approche permettra aux dirigeants d’approuver les recommandations à valeur ajoutée, ce qui aura un effet positif sur votre image. Et qui n’a pas envie de faire bonne figure lors d’une réunion avec la direction de l’organisation ?

Traiter les incidents récents et les utiliser pour sensibiliser
À un moment ou à un autre, toute organisation subira une perturbation quelconque. Il peut s’agir d’un incident aussi mineur que l’évacuation forcée d’un bureau ou aussi important que la perte d’un centre de distribution pendant trois mois. La session de revue de direction doit être l’occasion d’examiner l’efficacité de la réponse et du rétablissement de l’organisation à la suite d’incidents récents. Tous les incidents fournissent un retour d’information qui peut être utilisé pour légitimer l’importance et l’efficacité d’un système de gestion de la continuité des activités et de ses stratégies. Les revues de direction doivent présenter une évaluation honnête de ce qui a bien fonctionné et de ce qui n’a pas fonctionné, et fournir des recommandations pour aller de l’avant. Il peut être naturel de vouloir éviter d’examiner la réponse à un incident perturbateur, surtout si elle ne s’est pas déroulée comme prévu ; cependant, les difficultés doivent être abordées de manière à obtenir des résultats exploitables. La session de revue de direction crée un forum pour discuter de ces résultats. Une perturbation réelle peut être l’occasion de sensibiliser les parties prenantes et de s’assurer qu’elles comprennent l’intérêt de maintenir un programme solide de continuité des activités.

Conclusions
Les revues de direction constituent une excellente occasion de faire le point sur la situation actuelle de l’organisation, d’identifier les domaines à améliorer et de renforcer le soutien aux futures initiatives en matière de continuité des activités. En se concentrant sur les besoins du public et en veillant à l’alignement des activités de continuité d’activité sur l’orientation stratégique globale de l’organisation, le professionnel de la continuité d’activité peut considérer les dirigeants comme des partenaires dans le processus de planification de la continuité d’activité. Vos plans et vos initiatives n’ont pas besoin d’échouer si vous impliquez les bonnes parties prenantes et si vous présentez les activités d’une manière pertinente pour les décideurs clés de votre organisation.

Continuez à visiter notre blog pour d’autres articles de la série Riskonnect Conforming to ISO 22301.

En attendant, n’hésitez pas à nous contacter pour discuter de l’alignement sur la norme ou de la poursuite de la certification. N’hésitez pas à nous contacter pour discuter de l’alignement sur la norme ou de l’obtention de la certification.