Month: juillet 2016

BCM – Comment déterminez-vous la criticité d’un processus dans une BIA?

s="meta-nav">← Previous

Auteurs: Joris Bouve et Manu Steens

Dans BCM (management de la continuité des activités), on discute beaucoup de processus temps-critiques (TCP), de processus essentiels (EP) et de processus nécessaires (NP).
Typiquement on utilise comme définition:

  • TCP: processus à redémarrer dans un délai de deux jours ouvrables;
  • EP: processus qui ne doivent pas redémarrer dans un délai de deux jours mais dans un délai de deux semaines;
  • NP: les processus qui ne doivent pas redémarrer dans les deux semaines, mais dans les deux mois.

A quel point un processus est critique peut également être déterminé de manière différente: si l’impact d’une interruption trop longue (par exemple> 2 jours) devient trop gros, alors vous devez recommencer le processus rapidement (par exemple, dans <2 jours).

La question ici est: comment déterminez-vous la criticité d’un processus?

Procédez comme suit (voir tableau ci-dessous):

  • Répertoriez les processus dans la colonne [processus];
  • Déterminez l’impact sur votre service si le processus menace de tomber dans les colonnes suivantes.

    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 jours ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 jours, décrivez cet impact dans la colonne [impact si annulation> 2 jours]. Il existe alors un processus critique. Dans la colonne [criticité du processus], entrez TCP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 jours]. Vous pouvez également indiquer ici les mesures que vous allez prendre pour minimiser l’effet ou comment vous pouvez quand même garantir le service voulu.
    • Si l’impact de cette nature est que le service est sérieusement compromis en cas de panne qui durerait plus de 2 semaines ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si abandon> 2 semaines]. Il y a alors un processus essentiel. Dans la colonne [criticité du processus], entrez EP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 semaines]
    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 mois ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si interruption> 2 mois]. Il y a alors un processus nécessaire. Dans la colonne [criticité du processus], entrez NP.

Dans la colonne [les dépendances], indiquez les compétences, les moyens logistiques, les ressources informatiques,… dont vous avez besoin.
Comme décrit au point 2), vous entrez dans la colonne [criticité du processus] à quelle catégorie appartient le processus: temps critique, essentiel, nécessaire.

Processus Impact si abandon> 2 jours Impact si abandon> 2 semaines Impact si abandon> 2 mois les dépendances criticité du processus
[nom de processus] [description] [description] [description] TCP/EP/NP

Deux exemples:

  • Processus de gestion de crise. Si cela ne commence qu’après une heure, des problèmes de réputation graves peuvent déjà être causés, par exemple, par une communication incorrecte dans le support. Il faut donc certainement commencer dans les deux jours. Vous pouvez placer ce commentaire (RTO = 1h) (objectif de temps de récupération) dans la colonne “Impact sous> 2 jours”. Les 2 colonnes à côté ne doivent plus être remplies. Dans la colonne des dépendances, vous mettez par exemple les expertises, la salle de réunion, les ordinateurs portables, les smartphones, les outils de communication, etc. Dans la dernière colonne, vous indiquez le type de processus choisi, dans ce cas TCP.
  • Le processus X doit pouvoir démarrer dans les 5 jours du mois d’août, sinon une règle de la loi peut être violée, avec amendes associées et atteinte à la réputation. Ce commentaire peut ensuite être placé dans la colonne “Impact à plus de 2 semaines” et vous choisissez le type de processus “EP”. Dans la colonne “Impact sur> 2 jours”, vous pouvez indiquer “néant” ou, par exemple, vous devrez effectuer quelques heures supplémentaires après. Dans les dépendances, vous pouvez, par exemple, écrire une communication avec la banque, un employé administratif et le bon logiciel.

Ce choix de type de processus (TCP, EP ou NP) peut ensuite être adopté seul à seul dans l’analyse de l’impact sur les entreprises (BIA). Les dépendances peuvent également être prises en charge.

Gestion des risques à proprement parler – Indicateurs de risques clés et informations sur les risques

s="meta-nav">← Previous

Auteur: Manu Steens

Un concept important dans la gestion stratégique des risques est celui de la connaissance des risques.

L’intelligence des risques est un “processus systématique de collecte et d’analyse d’informations sur les risques des activités de l’organisation, afin de pouvoir prendre des décisions stratégiques en conséquence et de faire ainsi de meilleures affaires dans un environnement concurrentiel”. Il est donc possible répondre à l’intelligence concurrentielle d’opposants potentiels.

Dans l’état actuel des choses, il est donc plus étendu qu’un processus classique d’analyse des risques assorti d’actions. Ce sont toutes les informations pertinentes.

L’organisation doit donc être capable de fournir des événements et des impulsions externes pour les changements. En outre, il doit s’agir d’un processus, car les risques sont variables, les stratégies doivent pouvoir être ajustées et que de nouveaux risques apparaissent constamment.

Parmi les indicateurs prévisionnels possibles figurent les indicateurs: KPI et KRI (indicateurs de performance clés et indicateurs de risque clés). Je discute du KRI ici. (Remarque: le KRI fournit des informations. L’analyse de ces informations doit toujours être effectuée par les propriétaires du risque.)


KRI basé sur les résultats

Les indicateurs de risque clés sont souvent des indicateurs d’effet. Ils mesurent si les objectifs fixés, les résultats des processus, ont été atteints.

KRIs sur la base des résultats, sont des indicateurs d’effet. Inversement, les indicateurs d’effet peuvent être considérés comme une sous-classe des indicateurs de risque. Cependant, il est préférable de parler d’indicateurs d’effet chez les personnes qui sont opposées à la gestion des risques comme un autre sujet auquel la direction adhère.

Mais comment atteindre les indicateurs d’effet?

Strictement pris en déterminant les résultats du processus, le projet, l’objectif. Un moyen de déterminer ces résultats n’est pas le résultat des processus ou des projets en tant que phase finale de l’activité, mais son objectif. Cela peut être fait en décrivant le processus / projet en une ou quelques phrases seulement, et en terminant cette description par une ou plusieurs complétions après le mot “en ordre …” ou “pour que …”.

Là, vous définissez des critères que vous souhaitez périodiquement garder à l’esprit pour voir s’ils sont dépassés, ou montrent une tendance, ou font un saut, etc.

Un exemple ici peut créer de la clarté.

Lors de l’exploitation d’un gestionnaire BCM (management de la continuité des activités), il existe un processus qui commence à chaque cycle. Ce cycle peut être décrit dans l’ISO 22301, mais également dans le GPG de TheBCI.org.

Un exemple en est une communication de crise “Parler aux médias avec une voix claire de l’organisation pendant la crise”. Il s’agit là d’un objectif de l’équipe de gestion de crise, car lors d’une crise, l’objectif est que le transfert d’informations soit facilement vérifiable, correct,  aussi complètement que possible etc. et conformément aux exigences du moment. La conséquence indésirable que vous utilisez est que plusieurs personnes ont injustement traité les médias avec tous les flux d’informations erronés pouvant en découler. Vous pouvez donc faire une mesure comme suit:

T = “Somme des (nombre de personnes qui parlent (injustement) aux médias) des crises de ce mois.”

Vous pouvez ensuite illustrer la mesure avec des smileys comme suit:

Smiley Vert: 0 personnes

Smiley jaune: ne pas utiliser dans ce KRI

Smiley rouge: 1 personne ou plus

Smiley gris: la communication aux médias n’a pas été nécessaire du fait de l’absence de règlement de crise ce mois-ci.

KRI basé sur des analyses de risque

Cependant, il existe également une seconde catégorie d’indicateurs de risque clés, qui ne se basent pas sur les résultats ou les objectifs définis, mais qui font référence à l’analyse de risque du processus, du projet ou des objectifs.

Une explication de la méthode peut facilement être illustrée avec la méthode d’analyse de risque Bow-Tie.

Dans la méthode du Bow-Tie, on peut travailler de manière prédictive en regardant le côté gauche (côté préventif) du Bow-Tie, où l’on a complètement percé les causes profondes d’un événement souhaité ou indésirable.

Une fois que les causes pertinentes ont été inventoriées, il faut établir les critères dans lesquels elles se produisent. Par exemple, les accidents (hypothétiques) chez les forestiers culminent lorsque 15% d’entre eux ont moins d’un an d’expérience dans le secteur et que leurs superviseurs ont moins de 30 ans. Ensuite, on peut établir un KRI pour HRM (gestion des ressources humaines) afin de connaître l’âge des conseillers et la combinaison de l’expérience de leurs invités. Si, en cas de nouveau recrutement avec cette combinaison, vous dépassez ce critère, vous pouvez, par exemple, mettre en œuvre une réorganisation de parrain.

Comme on le voit facilement, ces KRI sont certainement importants du fait de leur pouvoir prédictif. L’indicateur KRI sur la base des résultats constatant plutôt que quelque chose ne va pas ou que quelque chose ne va pas.

Ces indicateurs prédictifs peuvent faire la différence entre le succès et l’échec de l’effet recherché. Ils reposent sur les résultats de l’analyse de risque complète. Ils justifient donc une analyse de risque complète selon le modèle Américain.

L’important dans le KRI est qu’il est possible d’adapter les stratégies existantes et de suivre le parcours. On peut anticiper.