Comment évaluer une mesure de la gestion de la continuité des activités et du Risk Management ?

Written by Manu Steens in GCA,Gestion des risques 

Auteur : Manu Steens

Au sein de la gestion des risques et de la gestion de la continuité des activités, chaque discipline de gestion le fait à sa manière, les risques et les incertitudes sont évalués afin d’avoir plus de certitude dans un monde VUCA sur le succès ou la survie de sa propre organisation.

La vision plus ou moins succincte de la manière de travailler est que les mesures sont liées aux menaces via une évaluation. (Je limite délibérément les risques aux menaces ici, afin de ne pas perdre de vue l’histoire, alors que ce qui suit peut être en partie vrai ou analogue à des opportunités.)

Ces mesures coûtent de l’argent et des efforts et doivent donc être responsables. Jusqu’à présent, je n’ai obtenu que deux réponses dans la littérature et lors de conférences :

  • Regardez les coûts par rapport aux bénéfices: si la prévention ou l’atténuation coûte plus cher que les dommages lorsque le risque se manifeste, cela n’en vaut pas la peine.
  • Regardez l’estimation du risque résiduel, si cela n’a pas assez diminué à votre avis, ce n’est pas une bonne mesure. La différence entre le risque initial et le risque après la mesure doit donc être suffisamment importante.

Cependant, cela ne vous mènera pas très loin si vous voulez justifier un argument en tant que gestionnaire de processus contre un gestionnaire de risques ou un gestionnaire de continuité d’activité qui doit à son tour en discuter avec le conseil d’administration ou le Chief Resilience Officer (CRO) ou dans la suite C.

De plus, un gestionnaire de processus veut généralement des arguments pratiques, tandis qu’un membre du conseil d’administration ou CxO veut des arguments plus stratégiques. Et puis le principe entre en jeu: donner ce qui leur est dû. Des critères opérationnels et stratégiques sont donc nécessaires pour évaluer chaque mesure.

Sans vouloir être exhaustif dans les critères, ni les points d’attention qui peuvent les accompagner, je voudrais esquisser ici une possibilité en proposant de tels critères. Notez que chaque critère peut être consulté, saisi et complété par les organisations qui souhaitent l’utiliser. Les exemples de mise en œuvre sont purement illustratifs et certainement pas exhaustifs.

En tant que gestionnaire de risques ou en tant que gestionnaire de continuité d’activité, revoir la mesure de manière opérationnelle avec le gestionnaire de processus sur les critères suivants (le cas échéant) :

  • Fiabilité (Par exemple, si une pièce est en panne, il y a une sauvegarde des processus, des personnes, de la structure redondante de l’organisation, de l’infrastructure, …)
  • Maintenabilité (par exemple le bâtiment, ses équipements, ses processus, l’éducation et la formation, …)
  • Disponibilité (Par exemple: numéro d’urgence, réseau, réalisations, indépendance, visibilité…)
  • Faisabilité (Par exemple, peut-il être organisé ? Quelle structure juridique est nécessaire, les finances nécessaires, la main-d’œuvre nécessaire,…)

En tant que gestionnaire de risques ou en tant que gestionnaire de continuité d’activité, examinez la mesure de manière stratégique avec le gestionnaire supérieur (CRO, …) sur les critères suivants (le cas échéant):

  • Proportionnalité (en particulier : une évaluation coûts-avantages est-elle possible, non seulement avec le retour sur investissement (ROI) mais surtout avec la valeur sur investissement (VOI)? « Plus de besoins peuvent être satisfaits avec l’argent requis d’une autre manière que cela », signifierait que cela est disproportionné; quels types de modèles d’évaluation sont nécessaires pour cela ?)
  • Prudence (Par exemple, que vaut une vie? Il n’y a pas de règle de prudence maximale ici, je pense, mais plutôt la question de savoir si on peut être plus prudent avec les budgets donnés?)
  • Efficacité (Angl.: effective)(entre autres, les bénéfices sont-ils importants dans l’analyse coûts-bénéfices? L’information circule-t-elle entre les bons acteurs? Y a-t-il un souci de qualité en cartographiant les risques? L’organisation soutient-elle les exigences opérationnelles et stratégiques? On atteint les objectifs à temps (pour que des crises prévisibles se produisent) pour pouvoir effectuer des exercices pour se préparer aux crises futures?)
  • Efficacité (Angl.: efficient) (Entre autres, le coût est-il faible dans l’analyse coût-bénéfice? La circulation de l’information est-elle fluide? Y a-t-il une volonté de collaborer au sein des réseaux, et est-ce avec une autorité de décision subsidiaire (ce qui est une exigence de qualité)? L’organisation peut-elle être réorganisée de manière flexible, et y a-t-il une collaboration harmonieuse avec le gouvernement? Les jalons des plans sont-ils atteints en temps opportun ?)

L’utilisation d’un cadre d’argumentation aussi bien pensé pour justifier l’exactitude d’une mesure peut aider à éviter les malentendus ou l’arbitraire lors de la formulation des mesures à mettre en œuvre.

S’il a ensuite été établi de manière subsidiaire à la fois au niveau opérationnel et au niveau stratégique que la mesure fait sens, il peut être plus sûr de mettre en œuvre la mesure pour toutes les parties, comme justification d’un éventuel audit si les choses tournent encore mal plus tard.

Cependant, bien qu’il existe des notions de gestion de crise opérationnelle et stratégique, il n’est pas clair pour moi si cette façon de travailler peut être mise en œuvre dans la gestion de crise. Cela peut être possible dans le cas d’une exploitation du projet en phase de suivi. Mais cela en soi peut être une idée à vérifier pour des autres.

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts