« La nécessité de gérer le risque opérationnel est plus aiguë que jamais », affirme l’Institute of Operational Risk (IOR) dans son livre blanc sur la résilience opérationnelle. Destiné à aider les professionnels du risque à améliorer la pratique de la gestion du risque opérationnel au sein de leur organisation, ce document présente les principes de la résilience opérationnelle, ainsi qu’une série de bonnes pratiques, d’exemples et de suggestions pour y parvenir. Dans ce court blog, nous examinons les principales conclusions de ce document :

La résilience opérationnelle est un résultat, pas un risque

La résilience opérationnelle est définie comme « la capacité d’une organisation à mener à bien ses opérations critiques en cas de perturbation ». Historiquement, elle a été gérée de manière proactive par le biais du cadre de gestion des risques opérationnels d’une organisation (ORMF) et de manière réactive par le biais de la gestion de la continuité, de la réponse aux incidents et de la planification de la crise ou de la reprise des activités. La résilience opérationnelle est le résultat de l’efficacité de ces activités de gestion des risques, de sorte que sa gestion nécessite une coordination et une compréhension de l’ensemble de ces activités« .

Quelle est la meilleure approche pour votre organisation ?

L’IOR considère que la résilience opérationnelle est une composante de l’ORMF et qu’elle doit être gérée dans ce cadre. L’IOR reconnaît que, en particulier dans les grandes entreprises, les équipes ou les fonctions de résilience opérationnelle peuvent avoir été mises en place indépendamment du risque opérationnel et des cadres de soutien (informatique, cybernétique, continuité des activités, gestion des incidents, etc.) Pour déterminer ce qui serait le plus approprié pour votre entreprise, l’IOR suggère de prendre en compte les éléments suivants :

  • La taille et le champ d’action de l’organisation
  • L’étendue des services offerts
  • Maturité relative des cadres existants de gestion proactive et réactive des risques

Examiner les risques sous l’angle des services

Selon l’IOR, « la résilience opérationnelle exige des organisations qu’elles examinent les risques sous l’angle des services, et non pas seulement en fonction du système, de l’activité ou du domaine opérationnel. Bien que cela nécessite un changement d’état d’esprit, la résilience opérationnelle est un résultat, et non un risque, de sorte que les principales activités de gestion des risques qui, dans l’ensemble, déterminent la résilience opérationnelle devraient suivre les processus de gestion des risques existants et utiliser les cadres existants lorsque c’est possible ». Étant donné que la collaboration peut améliorer la gouvernance de la résilience opérationnelle, il est conseillé d’identifier tous les services commerciaux, en définissant chacun d’eux comme « un service qu’une organisation fournit à un utilisateur final externe » jugé important si « son interruption aurait un impact matériel sur la viabilité (financière ou opérationnelle) d’une organisation, causerait un préjudice considérable aux clients ou aurait un impact sur sa capacité à mettre en œuvre la stratégie approuvée par le conseil d’administration. »

Cartographier les processus, mesurer l’impact des services

Pourquoi cartographier les processus ? Selon l’IOR, elle permet d’identifier et de gérer les principaux risques opérationnels (personnes, processus et systèmes) associés à la fourniture d’un service. « Comprendre comment un service est fourni et comment il pourrait être perturbé permet aux organisations de mettre en place des mesures proportionnées pour prévenir l’interruption du service et, par conséquent, peut créer de la valeur grâce à la rationalisation des activités de contrôle existantes basées sur des silos ». Étant donné que la cartographie est susceptible d’être une entreprise de grande envergure, l’IOR conseille de faire référence au contenu du registre des risques de l’organisation, ce qui permettra de se concentrer sur les risques les plus importants et sur leur impact (plutôt que sur leur probabilité). Il peut être utile de rappeler que la résilience est « dynamique et que, par conséquent, les mesures doivent, dans la mesure du possible, être fondées sur des données et pouvoir être mesurées en temps aussi proche que possible du temps réel afin de permettre une action rapide en cas d’événement opérationnel ayant un impact sur la prestation de services ».

Définition de la tolérance d’impact

La section 5 du livre blanc sur la résilience opérationnelle détaille la détermination et la fixation des tolérances d’impact pour les services importants de l’entreprise. « La tolérance sera généralement exprimée en termes de temps d’interruption du service (cela sera obligatoire pour les organisations de services financiers britanniques), mais elle peut également être utilisée en combinaison avec d’autres mesures pertinentes (par exemple, le nombre de clients touchés ou le volume de production). L’IOR conseille de fixer les tolérances au point ou avant le point où la perturbation entraînerait un risque intolérable – préjudice pour les consommateurs/participants au marché, préjudice financier pour l’organisation elle-même, ou sa licence d’exploitation.

Test, suivi et contrôle des scénarios de résilience opérationnelle

L’Institut recommande que les scénarios de résilience opérationnelle soient conçus et testés de la même manière que pour le risque opérationnel. Bien que les résultats soient différents, ils seront utiles pour la gouvernance et la conformité, et pour soutenir la prise de décision stratégique et opérationnelle. Il est suggéré que la résilience opérationnelle soit prise en compte dans les forums et les rapports existants sur la gestion du risque opérationnel. « L’objectif principal devrait être d’utiliser les informations existantes et, dans la mesure du possible, de ne pas compliquer les choses à l’excès. L’objectif est d’identifier les risques émergents qui pourraient avoir un impact sur la capacité d’une organisation à fournir l’IBS (ou à rester dans la tolérance d’impact en cas de panne) et, le cas échéant, de prendre des mesures pour les atténuer ». Étant donné que la gestion de la résilience opérationnelle consiste à s’attendre à des changements et à réagir à des événements extérieurs, la surveillance doit prendre en compte les éléments suivants :

  • Interdépendance et interconnexions entre les systèmes et les services
  • Dépendances destiers et externalisation
  • L’environnement extérieur

Tenir compte des processus de gestion des risques existants

L’IOR conseille de se référer en premier lieu aux pratiques existantes de gestion des risques, car elles contiennent une grande partie des données et des pratiques proactives et réactives nécessaires à la gestion de la résilience opérationnelle. Il peut également être utile de se rappeler que Rome ne s’est pas construite en un jour. La résilience opérationnelle « est une discipline en évolution et les cadres et politiques de gestion de la résilience opérationnelle doivent être conçus pour soutenir une prise de décision agile et être adaptables pour répondre aux menaces, problèmes et réglementations émergents ».