Artikels

À proprement parler, la gestion des risques – facteurs de succès du soutien

s="meta-nav">← Previous

Auteur: Manu Steens
Une structure organisationnelle, un décret ou une loi, une (quelques) mesure (s), … doivent être portés pour réussir. Pour être porté, ils doivent être reconnus. (Je n’ai pas encore de critère pour dire dans quels cas ce modèle s’applique, une étude rétrospective des cas ayant abouti ou non devrait être faite à cet effet.)
La reconnaissance en elle-même repose toutefois sur quatre facteurs de réussite:

  • légitimité,
  • cohésion du groupe cible en raison de la proximité avec ses employés de la problématique,
  • efficacité avec but et persévérance,
  • autorité.

Ces quatre piliers sont interdépendants. Si vous enlevez une jambe de la table, les autres parties viendront et la table tombera. Donc, vous ne pouvez pas réellement les voir comme indépendants. Pour la suite de la discussion, je le fais ici quand même.
Une chose qui semble être clairement soutenue est la réglementation européenne du GDPR. Quelque chose qui ne semble pas être porté est le Brexit. Illustrons donc ces deux choses avec cette idée.
Facteurs de succès du soutien appliqué au GDPR.

  • Légitimité: la législation relative aux GDPR a été imposée par l’UE et s’applique à tous les pays de l’UE pour mise en œuvre.
  • Cohésion du groupe cible par proximité: les pays de l’UE sont interdépendants, non seulement parce qu’ils sont connectés au sein de l’UE, mais aussi parce qu’ils permettent la libre circulation des personnes, ce qui leur permet de profiter législation similaire. Dans le même temps, l’UE est pour la plupart un ensemble cohérent, ce qui permet aux pays d’être cohérents en termes de soutien de la législation. La proximité est peut-être mieux illustrée par le fait que les citoyens de l’UE ont reconnu que la législation les concernait beaucoup. Le citoyen l’a compri très vite.
  • Efficacité: le GDPR a fait l’objet d’une véritable publicité en public, soulignant le fait que cette législation s’applique au citoyen. Cela a été si efficace que les citoyens de l’UE et les organisations étaient très conscients de leurs obligations et on a même créé des emplois à très court terme: par exemple, des avocats du GDPR, mais également des DPO, des formations, etc.
  • Autorité: la législation elle-même prévoit également des mesures punitives en cas de non-application de la loi par les organisations dans l’UE. Des possibilités d’audit ont également été fournies. En partie à cause de ces bâtons derrière la porte, de nombreuses organisations ont démarré et il y avait un grand sentiment de “faire quelque chose”.

Conclusion: en raison de la publicité barnum, ce projet de loi s’appuyait fortement sur ces quatre facteurs de succès, de sorte qu’il ne pouvait en réalité que réussir.

Facteurs de succès du soutien appliqué au Brexit.

  • Légitimité: Cela s’est fait par un référendum peu clair avec une majorité «derrière la virgule». Il y a une division totale au sein et entre les partis et au sein de la population. Le Premier ministre britannique était donc complètement plongé dans une période d’incertitude. Aucune des propositions de l’UE ou des Britanniques eux-mêmes n’a été acceptée à une majorité claire.
  • Cohérence: les Britanniques sont divisés. Les votes pour et contre sont soigneusement divisés et sans cohérence claire. Beaucoup de gens, ainsi que leurs politiciens, attachent une grande importance à leur souveraineté. D’autres optent pour les possibilités d’une Europe cohésive avec les Britanniques. La connexion est perdue. La division est au niveau granulaire de la population.
  • Efficacité: en raison de nombreuses ambiguïtés, toutes les propositions de Brexit de manière raisonnable ont été rejetées par le Brexit. En conséquence, il est régulièrement reporté. En conséquence, il n’est pas clair comment, si et quand le Brexit sera un fait.
  • Autorité: un nouveau référendum sur le Brexit pourrait avoir un effet différent. Il existe également une différence d’opinion entre, par exemple, les Écossais et le reste des Britanniques. En outre, les Britanniques déclarent régulièrement les paroles historiques de Churchill selon lesquelles “la Grande-Bretagne est avec l’UE mais pas de l’UE”.

Conclusion: Le Brexit n’est pas réussi.

Résilience à proprement parler – Gestion des désastres: fourmis rouges, rhinocéros gris, cygnes noirs et relation entre la gestion de continuité des activités (BCM), la gestion des risques (RM) et la gestion de crise (CM)

s="meta-nav">← Previous

Auteur: Manu Steens

Une première question que je me pose: comment ces concepts sont-ils liés les uns aux autres?

La figure suivante (la table des désastres) peut offrir une solution: il s’agit des known knowns (connus connus).

Ce tableau fournit une esquisse minimaliste en réponse à “À quoi peuvent ressembler les catastrophes?”

En outre, il existe des unknown knowns (inconnus connus) tels que le Gray Rinho.

Ce sont des choses qui nous parviennent, que nous savons qu’elles sont présentes, mais que nous choisissons de ne pas les voir ou oublions qu’elles sont là.

Les rhinocéros gris ne sont pas divisibles avec une probabilité et un impact bien connus ou peu connus. L’impact est grand. La chance est grande. Il est toujours bien connu en termes de probabilité et d’impact, et s’inscrit donc dans le quadrant des catastrophes, comme suit:

Des inconnus connus existent également. Ce sont des choses que nous savons qu’il y a “quelque chose” mais nous ne savons pas juste quoi. Par conséquent, nous ne pouvons pas les incalculer. Ceux-ci ne peuvent pas être classés avec une probabilité ou un impact. Les conséquences peuvent être ou ne pas être connues. Les probabilités également. Si les conséquences sont importantes, mais pas activement connues, et que la probabilité est estimée faible, mais que cela se produit soudainement, sans aucune prévision de l’événement, on parle de Black Swan (cygne noir). La dinde ne sait pas pourquoi le fermier lui donne toujours de la nourriture, mais aurait pu se douter d’une question suspecte de “Pourquoi”. Mais la dinde ne connaît pas la fête de Noël et ne peut pas vraiment évaluer la probabilité de l’occasion.

Enfin, il y a des inconnus inconnus (unknown unknowns). Nous ne savons pas que nous ne connaissons pas.

Non seulement nous ne connaissons pas la probabilité et l’impact, nous ne connaissons pas l’événement, nous ne connaissons pas la raison, nous ne connaissons pas les conséquences. Donc, nous ne pouvons pas donner un exemple futur de cela. À moins que vous ne regardiez le passé. (Rétrospective) Le prêtre avait-il raison de sauver Adolf Hitler de la noyade, alors qu’il était tombé à travers la glace comme un enfant?

L’intention de la gestion de Resilience est de faire connaissance avec le plus grand nombre possible de ces quatre groupes et de les repousser, dans les limites des possibilités, de le carré des connus connus.

Cela fournit un moyen possible de définir des besoins résilients. Qu’est-ce que CM, cependant? La réponse est: partout. Dans les 4 groupes, CM agit activement lorsqu’une menace se manifeste. Parce que les connus connus sont les mieux connus, il est toujours avantageux d’élaborer et de préparer RM.

Question 2: quels sont les valeurs ajoutées historiques de BCM, RM et CM?

Les valeurs ajoutées déjà ​​connues historiques présentes dans ces trois disciplines sont:

  • Conformité aux lois et aux clients
  • Protection de la réputation de l’organisation et de la force de la marque
  • Pour le moment: avantage concurrentiel
  • Améliorations opérationnelles
  • Saisir les connaissances et les expériences
  • Protection de la valeur

Question 3: quelles sont les “nouvelles” valeurs ajoutées de BCM, RM?

La nouvelle valeur ajoutée selon ISO 31000:

  • Création de valeur, et donc aussi
  • Inclure les opportunités

Création de valeur

  • En étudiant les menaces dans les projets et processus nouveaux et existants, ces menaces peuvent être traitées de manière à augmenter les chances de succès et à réduire les coûts de la phase de suivi.
  • Cela augmente également la qualité des résultats (outputs & outcomes), permettant ainsi un positionnement plus fort sur le marché, qui attire des clients potentiels.
  • Cela améliore immédiatement la réputation, en créant une spirale positive qui se traduit par une meilleure valeur de marché de l’organisation et génère un effet positif sur le marché boursier.
  • En appliquant la RM à ses projets, un gouvernement créera mutatis mutandis une valeur ajoutée au niveau social, ce qui se traduira également par plus de revenus pour le gouvernement et créera ainsi une spirale de valeur positive pour la société.

Inclure les opportunités

  • Lorsqu’une opportunité se présente, elle peut être correctement enregistrée, en ce sens que les risques encourus par l’organisation sont connus et peuvent être traités afin d’optimiser ses chances de succès.
  • Parce que RM a une «perspective» (outlook), les menaces, mais aussi les opportunités, sont perçues mieux et plus rapidement.
  • Comme les rapports systématiques sont intégrés dans toutes les couches de l’organisation, ainsi que dans les processus et les projets de l’entreprise, la stratégie peut mieux et plus rapidement évaluer les opportunités correctement.

Ces gains en capital s’appliquent également à BCM.

Question 4: quelle est la valeur ajoutée la plus importante de CM?

Ce que je veux savoir, c’est à quoi s’attendent les employés et la société.

Les gens attendent de plus en plus des organisations. Ils veulent donc de la certitude en temps d’incertitude. Ce que fait l’organisation est:

  • Traiter la menace
  • Pour répondre à l’urgence
  • Combattre l’incertitude

Traiter la menace
Les menaces sont relatives et personnelles. Mais il existe également des menaces générales qui nous concernent tous. Le meilleur exemple est peut-être la terreur. Bien que les attaques terroristes fassent beaucoup moins de victimes que la poussière fine, année après année, elles affectent personnellement les personnes à cause du choix de la méthode, du lieu et du moment. Ils choisissent cette façon pour maximiser la peur. Cette peur concerne chacun personnellement, car c’est arbitraire quand et comment on peut être victime. La société ne le sait pas et, par conséquent, toutes les victimes potentielles adressent leur colère contre les auteurs.

Répondre à l’urgence
L’urgence est personnelle. Une crise potentielle qui vous affecte personnellement est généralement urgente tant que vous espérez toujours avoir la possibilité de vous en échapper.

Combattre l’incertitude
Pour ce faire, l’organisation s’organise principalement avec la gestion opérationnelle, la gestion de la communication et la gestion stratégique.

Avec la gestion opérationnelle, l’organisation peut montrer que le problème est en cours de résolution. Des contre-actions ont lieu et il y a des revendications à observer. Avec la gestion stratégique, l’organisation peut faire preuve de sens et donner une compréhension aux personnes de leur position. L’organisation peut également indiquer ses actions, en expliquant les raisons des actions, pour inclure ses responsabilités. Aussi pour apprendre des leçons et pour éviter les problèmes à l’avenir. Avec la gestion de la communication, l’organisation peut se faire entendre au sujet de la situation, du fait qu’elle travaille sur le problème et quelles sont les attentes.

Question 5: Et maintenant ceci: qu’en est-il des fourmis rouges (Red Ants)?

Est-ce encore une autre invention pour décrire les risques? Non, en fait pas. C’est un type désastreux qui est naturellement absent: incidents à impact faible à modéré et probabilité faible à élevée, mais avec la possibilité de devenir très rapidement un cygne noir ou un rhinocéros gris.

Cygnes noirs (Nicolaas Taleb): très petites probabilités, très grands impacts.

Gray Rhino’s (Michèle Wucker): très grandes probabilités, très grands impacts

Fourmis rouges: (Très) grandes probabilités, petits impacts.

Les fourmis rouges sont souvent les petits incidents sans conséquences majeures qui sont un avertissement d’imperfections dans la sécurité d’un système ou d’une organisation. Généralement, un grand nombre de fourmis rouges précèdent un rhinocéros gris ou un cygne noir. En plus du fait que les fourmis rouges constituent un phénomène gênant dans le domaine de la sécurité et de l’extinction de nombreux petites incendies, elles ont donc une fonction d’alerte sérieuse. C’est-à-dire qu’il faut trouver la cause fondamentale et s’y adresser au fond, sinon tôt ou tard de véritables accidents se produiront.

Donc, chaque “espèce animale” est donc à prendre au sérieux .

Question 6: Et que pouvez-vous faire à ce sujet?

Eh bien, présentons ceci schématiquement dans le tableau de gestion des catastrophes:

Conclusions:

 

  • Les exercices de gestion de crise sont l’aspect le plus nécessaire de la gestion des catastrophes.
  • La gestion des risques comprend des mesures préventives et des mesures de protection (par analogie avec la méthode d’analyse du nœud papillon).
  • Les incertitudes ont pour caractéristique que les chances sont mal connues mais les impacts sont mieux connus. Habituellement parce que les causes sont mal connues. Par conséquent, des mesures de protection s’imposent.
  • Les ambiguïtés ont pour caractéristique que les impacts sont mal connus mais les opportunités sont mieux connues. Habituellement parce que les conséquences sont mal connues. Par conséquent, des mesures préventives s’imposent.
  • Dans le cas d’opportunités et d’impacts sans précédent, il faut mettre l’accent sur la vigilance, estimer rapidement les imprévus et incorporer les mesures dans la politique de l’organisation de manière continue.

 

BCM – Comment déterminez-vous la criticité d’un processus dans une BIA?

s="meta-nav">← Previous

Auteurs: Joris Bouve et Manu Steens

Dans BCM (management de la continuité des activités), on discute beaucoup de processus temps-critiques (TCP), de processus essentiels (EP) et de processus nécessaires (NP).
Typiquement on utilise comme définition:

  • TCP: processus à redémarrer dans un délai de deux jours ouvrables;
  • EP: processus qui ne doivent pas redémarrer dans un délai de deux jours mais dans un délai de deux semaines;
  • NP: les processus qui ne doivent pas redémarrer dans les deux semaines, mais dans les deux mois.

A quel point un processus est critique peut également être déterminé de manière différente: si l’impact d’une interruption trop longue (par exemple> 2 jours) devient trop gros, alors vous devez recommencer le processus rapidement (par exemple, dans <2 jours).

La question ici est: comment déterminez-vous la criticité d’un processus?

Procédez comme suit (voir tableau ci-dessous):

  • Répertoriez les processus dans la colonne [processus];
  • Déterminez l’impact sur votre service si le processus menace de tomber dans les colonnes suivantes.

    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 jours ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 jours, décrivez cet impact dans la colonne [impact si annulation> 2 jours]. Il existe alors un processus critique. Dans la colonne [criticité du processus], entrez TCP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 jours]. Vous pouvez également indiquer ici les mesures que vous allez prendre pour minimiser l’effet ou comment vous pouvez quand même garantir le service voulu.
    • Si l’impact de cette nature est que le service est sérieusement compromis en cas de panne qui durerait plus de 2 semaines ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si abandon> 2 semaines]. Il y a alors un processus essentiel. Dans la colonne [criticité du processus], entrez EP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 semaines]
    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 mois ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si interruption> 2 mois]. Il y a alors un processus nécessaire. Dans la colonne [criticité du processus], entrez NP.

Dans la colonne [les dépendances], indiquez les compétences, les moyens logistiques, les ressources informatiques,… dont vous avez besoin.
Comme décrit au point 2), vous entrez dans la colonne [criticité du processus] à quelle catégorie appartient le processus: temps critique, essentiel, nécessaire.

Processus Impact si abandon> 2 jours Impact si abandon> 2 semaines Impact si abandon> 2 mois les dépendances criticité du processus
[nom de processus] [description] [description] [description] TCP/EP/NP

Deux exemples:

  • Processus de gestion de crise. Si cela ne commence qu’après une heure, des problèmes de réputation graves peuvent déjà être causés, par exemple, par une communication incorrecte dans le support. Il faut donc certainement commencer dans les deux jours. Vous pouvez placer ce commentaire (RTO = 1h) (objectif de temps de récupération) dans la colonne “Impact sous> 2 jours”. Les 2 colonnes à côté ne doivent plus être remplies. Dans la colonne des dépendances, vous mettez par exemple les expertises, la salle de réunion, les ordinateurs portables, les smartphones, les outils de communication, etc. Dans la dernière colonne, vous indiquez le type de processus choisi, dans ce cas TCP.
  • Le processus X doit pouvoir démarrer dans les 5 jours du mois d’août, sinon une règle de la loi peut être violée, avec amendes associées et atteinte à la réputation. Ce commentaire peut ensuite être placé dans la colonne “Impact à plus de 2 semaines” et vous choisissez le type de processus “EP”. Dans la colonne “Impact sur> 2 jours”, vous pouvez indiquer “néant” ou, par exemple, vous devrez effectuer quelques heures supplémentaires après. Dans les dépendances, vous pouvez, par exemple, écrire une communication avec la banque, un employé administratif et le bon logiciel.

Ce choix de type de processus (TCP, EP ou NP) peut ensuite être adopté seul à seul dans l’analyse de l’impact sur les entreprises (BIA). Les dépendances peuvent également être prises en charge.

Gestion des risques à proprement parler – Indicateurs de risques clés et informations sur les risques

s="meta-nav">← Previous

Auteur: Manu Steens

Un concept important dans la gestion stratégique des risques est celui de la connaissance des risques.

L’intelligence des risques est un “processus systématique de collecte et d’analyse d’informations sur les risques des activités de l’organisation, afin de pouvoir prendre des décisions stratégiques en conséquence et de faire ainsi de meilleures affaires dans un environnement concurrentiel”. Il est donc possible répondre à l’intelligence concurrentielle d’opposants potentiels.

Dans l’état actuel des choses, il est donc plus étendu qu’un processus classique d’analyse des risques assorti d’actions. Ce sont toutes les informations pertinentes.

L’organisation doit donc être capable de fournir des événements et des impulsions externes pour les changements. En outre, il doit s’agir d’un processus, car les risques sont variables, les stratégies doivent pouvoir être ajustées et que de nouveaux risques apparaissent constamment.

Parmi les indicateurs prévisionnels possibles figurent les indicateurs: KPI et KRI (indicateurs de performance clés et indicateurs de risque clés). Je discute du KRI ici. (Remarque: le KRI fournit des informations. L’analyse de ces informations doit toujours être effectuée par les propriétaires du risque.)


KRI basé sur les résultats

Les indicateurs de risque clés sont souvent des indicateurs d’effet. Ils mesurent si les objectifs fixés, les résultats des processus, ont été atteints.

KRIs sur la base des résultats, sont des indicateurs d’effet. Inversement, les indicateurs d’effet peuvent être considérés comme une sous-classe des indicateurs de risque. Cependant, il est préférable de parler d’indicateurs d’effet chez les personnes qui sont opposées à la gestion des risques comme un autre sujet auquel la direction adhère.

Mais comment atteindre les indicateurs d’effet?

Strictement pris en déterminant les résultats du processus, le projet, l’objectif. Un moyen de déterminer ces résultats n’est pas le résultat des processus ou des projets en tant que phase finale de l’activité, mais son objectif. Cela peut être fait en décrivant le processus / projet en une ou quelques phrases seulement, et en terminant cette description par une ou plusieurs complétions après le mot “en ordre …” ou “pour que …”.

Là, vous définissez des critères que vous souhaitez périodiquement garder à l’esprit pour voir s’ils sont dépassés, ou montrent une tendance, ou font un saut, etc.

Un exemple ici peut créer de la clarté.

Lors de l’exploitation d’un gestionnaire BCM (management de la continuité des activités), il existe un processus qui commence à chaque cycle. Ce cycle peut être décrit dans l’ISO 22301, mais également dans le GPG de TheBCI.org.

Un exemple en est une communication de crise “Parler aux médias avec une voix claire de l’organisation pendant la crise”. Il s’agit là d’un objectif de l’équipe de gestion de crise, car lors d’une crise, l’objectif est que le transfert d’informations soit facilement vérifiable, correct,  aussi complètement que possible etc. et conformément aux exigences du moment. La conséquence indésirable que vous utilisez est que plusieurs personnes ont injustement traité les médias avec tous les flux d’informations erronés pouvant en découler. Vous pouvez donc faire une mesure comme suit:

T = “Somme des (nombre de personnes qui parlent (injustement) aux médias) des crises de ce mois.”

Vous pouvez ensuite illustrer la mesure avec des smileys comme suit:

Smiley Vert: 0 personnes

Smiley jaune: ne pas utiliser dans ce KRI

Smiley rouge: 1 personne ou plus

Smiley gris: la communication aux médias n’a pas été nécessaire du fait de l’absence de règlement de crise ce mois-ci.

KRI basé sur des analyses de risque

Cependant, il existe également une seconde catégorie d’indicateurs de risque clés, qui ne se basent pas sur les résultats ou les objectifs définis, mais qui font référence à l’analyse de risque du processus, du projet ou des objectifs.

Une explication de la méthode peut facilement être illustrée avec la méthode d’analyse de risque Bow-Tie.

Dans la méthode du Bow-Tie, on peut travailler de manière prédictive en regardant le côté gauche (côté préventif) du Bow-Tie, où l’on a complètement percé les causes profondes d’un événement souhaité ou indésirable.

Une fois que les causes pertinentes ont été inventoriées, il faut établir les critères dans lesquels elles se produisent. Par exemple, les accidents (hypothétiques) chez les forestiers culminent lorsque 15% d’entre eux ont moins d’un an d’expérience dans le secteur et que leurs superviseurs ont moins de 30 ans. Ensuite, on peut établir un KRI pour HRM (gestion des ressources humaines) afin de connaître l’âge des conseillers et la combinaison de l’expérience de leurs invités. Si, en cas de nouveau recrutement avec cette combinaison, vous dépassez ce critère, vous pouvez, par exemple, mettre en œuvre une réorganisation de parrain.

Comme on le voit facilement, ces KRI sont certainement importants du fait de leur pouvoir prédictif. L’indicateur KRI sur la base des résultats constatant plutôt que quelque chose ne va pas ou que quelque chose ne va pas.

Ces indicateurs prédictifs peuvent faire la différence entre le succès et l’échec de l’effet recherché. Ils reposent sur les résultats de l’analyse de risque complète. Ils justifient donc une analyse de risque complète selon le modèle Américain.

L’important dans le KRI est qu’il est possible d’adapter les stratégies existantes et de suivre le parcours. On peut anticiper.

Plan de pandémie

s="meta-nav">← Previous

Ce document fournit des outils pour les gestionnaires et les employés de leur propre organisation. Il indique les mesures qu’une entité et les employés individuels peuvent prendre en cas de pandémie pour assurer la continuité des services au maximum. Ceux-ci peuvent être inclus dans un Plan de Continuité d’Activités.

Important: je considère cette connaissance comme open source. Tout le monde peut l’utiliser pour rendre son organisation plus sûre. Mais il ne peut pas être utilisé pour être vendu seul.

 

Icoon

Plan de Pandémie

1 fichier·s   220.17 KB