Risicomanagement

Résilience à proprement parler – Gestion des désastres: fourmis rouges, rhinocéros gris, cygnes noirs et relation entre la gestion de continuité des activités (BCM), la gestion des risques (RM) et la gestion de crise (CM)

s="meta-nav">← Previous

Auteur: Manu Steens

Une première question que je me pose: comment ces concepts sont-ils liés les uns aux autres?

La figure suivante (la table des désastres) peut offrir une solution: il s’agit des known knowns (connus connus).

Ce tableau fournit une esquisse minimaliste en réponse à “À quoi peuvent ressembler les catastrophes?”

En outre, il existe des unknown knowns (inconnus connus) tels que le Gray Rinho.

Ce sont des choses qui nous parviennent, que nous savons qu’elles sont présentes, mais que nous choisissons de ne pas les voir ou oublions qu’elles sont là.

Les rhinocéros gris ne sont pas divisibles avec une probabilité et un impact bien connus ou peu connus. L’impact est grand. La chance est grande. Il est toujours bien connu en termes de probabilité et d’impact, et s’inscrit donc dans le quadrant des catastrophes, comme suit:

Des inconnus connus existent également. Ce sont des choses que nous savons qu’il y a “quelque chose” mais nous ne savons pas juste quoi. Par conséquent, nous ne pouvons pas les incalculer. Ceux-ci ne peuvent pas être classés avec une probabilité ou un impact. Les conséquences peuvent être ou ne pas être connues. Les probabilités également. Si les conséquences sont importantes, mais pas activement connues, et que la probabilité est estimée faible, mais que cela se produit soudainement, sans aucune prévision de l’événement, on parle de Black Swan (cygne noir). La dinde ne sait pas pourquoi le fermier lui donne toujours de la nourriture, mais aurait pu se douter d’une question suspecte de “Pourquoi”. Mais la dinde ne connaît pas la fête de Noël et ne peut pas vraiment évaluer la probabilité de l’occasion.

Enfin, il y a des inconnus inconnus (unknown unknowns). Nous ne savons pas que nous ne connaissons pas.

Non seulement nous ne connaissons pas la probabilité et l’impact, nous ne connaissons pas l’événement, nous ne connaissons pas la raison, nous ne connaissons pas les conséquences. Donc, nous ne pouvons pas donner un exemple futur de cela. À moins que vous ne regardiez le passé. (Rétrospective) Le prêtre avait-il raison de sauver Adolf Hitler de la noyade, alors qu’il était tombé à travers la glace comme un enfant?

L’intention de la gestion de Resilience est de faire connaissance avec le plus grand nombre possible de ces quatre groupes et de les repousser, dans les limites des possibilités, de le carré des connus connus.

Cela fournit un moyen possible de définir des besoins résilients. Qu’est-ce que CM, cependant? La réponse est: partout. Dans les 4 groupes, CM agit activement lorsqu’une menace se manifeste. Parce que les connus connus sont les mieux connus, il est toujours avantageux d’élaborer et de préparer RM.

Question 2: quels sont les valeurs ajoutées historiques de BCM, RM et CM?

Les valeurs ajoutées déjà ​​connues historiques présentes dans ces trois disciplines sont:

  • Conformité aux lois et aux clients
  • Protection de la réputation de l’organisation et de la force de la marque
  • Pour le moment: avantage concurrentiel
  • Améliorations opérationnelles
  • Saisir les connaissances et les expériences
  • Protection de la valeur

Question 3: quelles sont les “nouvelles” valeurs ajoutées de BCM, RM?

La nouvelle valeur ajoutée selon ISO 31000:

  • Création de valeur, et donc aussi
  • Inclure les opportunités

Création de valeur

  • En étudiant les menaces dans les projets et processus nouveaux et existants, ces menaces peuvent être traitées de manière à augmenter les chances de succès et à réduire les coûts de la phase de suivi.
  • Cela augmente également la qualité des résultats (outputs & outcomes), permettant ainsi un positionnement plus fort sur le marché, qui attire des clients potentiels.
  • Cela améliore immédiatement la réputation, en créant une spirale positive qui se traduit par une meilleure valeur de marché de l’organisation et génère un effet positif sur le marché boursier.
  • En appliquant la RM à ses projets, un gouvernement créera mutatis mutandis une valeur ajoutée au niveau social, ce qui se traduira également par plus de revenus pour le gouvernement et créera ainsi une spirale de valeur positive pour la société.

Inclure les opportunités

  • Lorsqu’une opportunité se présente, elle peut être correctement enregistrée, en ce sens que les risques encourus par l’organisation sont connus et peuvent être traités afin d’optimiser ses chances de succès.
  • Parce que RM a une «perspective» (outlook), les menaces, mais aussi les opportunités, sont perçues mieux et plus rapidement.
  • Comme les rapports systématiques sont intégrés dans toutes les couches de l’organisation, ainsi que dans les processus et les projets de l’entreprise, la stratégie peut mieux et plus rapidement évaluer les opportunités correctement.

Ces gains en capital s’appliquent également à BCM.

Question 4: quelle est la valeur ajoutée la plus importante de CM?

Ce que je veux savoir, c’est à quoi s’attendent les employés et la société.

Les gens attendent de plus en plus des organisations. Ils veulent donc de la certitude en temps d’incertitude. Ce que fait l’organisation est:

  • Traiter la menace
  • Pour répondre à l’urgence
  • Combattre l’incertitude

Traiter la menace
Les menaces sont relatives et personnelles. Mais il existe également des menaces générales qui nous concernent tous. Le meilleur exemple est peut-être la terreur. Bien que les attaques terroristes fassent beaucoup moins de victimes que la poussière fine, année après année, elles affectent personnellement les personnes à cause du choix de la méthode, du lieu et du moment. Ils choisissent cette façon pour maximiser la peur. Cette peur concerne chacun personnellement, car c’est arbitraire quand et comment on peut être victime. La société ne le sait pas et, par conséquent, toutes les victimes potentielles adressent leur colère contre les auteurs.

Répondre à l’urgence
L’urgence est personnelle. Une crise potentielle qui vous affecte personnellement est généralement urgente tant que vous espérez toujours avoir la possibilité de vous en échapper.

Combattre l’incertitude
Pour ce faire, l’organisation s’organise principalement avec la gestion opérationnelle, la gestion de la communication et la gestion stratégique.

Avec la gestion opérationnelle, l’organisation peut montrer que le problème est en cours de résolution. Des contre-actions ont lieu et il y a des revendications à observer. Avec la gestion stratégique, l’organisation peut faire preuve de sens et donner une compréhension aux personnes de leur position. L’organisation peut également indiquer ses actions, en expliquant les raisons des actions, pour inclure ses responsabilités. Aussi pour apprendre des leçons et pour éviter les problèmes à l’avenir. Avec la gestion de la communication, l’organisation peut se faire entendre au sujet de la situation, du fait qu’elle travaille sur le problème et quelles sont les attentes.

Question 5: Et maintenant ceci: qu’en est-il des fourmis rouges (Red Ants)?

Est-ce encore une autre invention pour décrire les risques? Non, en fait pas. C’est un type désastreux qui est naturellement absent: incidents à impact faible à modéré et probabilité faible à élevée, mais avec la possibilité de devenir très rapidement un cygne noir ou un rhinocéros gris.

Cygnes noirs (Nicolaas Taleb): très petites probabilités, très grands impacts.

Gray Rhino’s (Michèle Wucker): très grandes probabilités, très grands impacts

Fourmis rouges: (Très) grandes probabilités, petits impacts.

Les fourmis rouges sont souvent les petits incidents sans conséquences majeures qui sont un avertissement d’imperfections dans la sécurité d’un système ou d’une organisation. Généralement, un grand nombre de fourmis rouges précèdent un rhinocéros gris ou un cygne noir. En plus du fait que les fourmis rouges constituent un phénomène gênant dans le domaine de la sécurité et de l’extinction de nombreux petites incendies, elles ont donc une fonction d’alerte sérieuse. C’est-à-dire qu’il faut trouver la cause fondamentale et s’y adresser au fond, sinon tôt ou tard de véritables accidents se produiront.

Donc, chaque “espèce animale” est donc à prendre au sérieux .

Question 6: Et que pouvez-vous faire à ce sujet?

Eh bien, présentons ceci schématiquement dans le tableau de gestion des catastrophes:

Conclusions:

 

  • Les exercices de gestion de crise sont l’aspect le plus nécessaire de la gestion des catastrophes.
  • La gestion des risques comprend des mesures préventives et des mesures de protection (par analogie avec la méthode d’analyse du nœud papillon).
  • Les incertitudes ont pour caractéristique que les chances sont mal connues mais les impacts sont mieux connus. Habituellement parce que les causes sont mal connues. Par conséquent, des mesures de protection s’imposent.
  • Les ambiguïtés ont pour caractéristique que les impacts sont mal connus mais les opportunités sont mieux connues. Habituellement parce que les conséquences sont mal connues. Par conséquent, des mesures préventives s’imposent.
  • Dans le cas d’opportunités et d’impacts sans précédent, il faut mettre l’accent sur la vigilance, estimer rapidement les imprévus et incorporer les mesures dans la politique de l’organisation de manière continue.

 

Gestion des risques à proprement parler – Indicateurs de risques clés et informations sur les risques

s="meta-nav">← Previous

Auteur: Manu Steens

Un concept important dans la gestion stratégique des risques est celui de la connaissance des risques.

L’intelligence des risques est un “processus systématique de collecte et d’analyse d’informations sur les risques des activités de l’organisation, afin de pouvoir prendre des décisions stratégiques en conséquence et de faire ainsi de meilleures affaires dans un environnement concurrentiel”. Il est donc possible répondre à l’intelligence concurrentielle d’opposants potentiels.

Dans l’état actuel des choses, il est donc plus étendu qu’un processus classique d’analyse des risques assorti d’actions. Ce sont toutes les informations pertinentes.

L’organisation doit donc être capable de fournir des événements et des impulsions externes pour les changements. En outre, il doit s’agir d’un processus, car les risques sont variables, les stratégies doivent pouvoir être ajustées et que de nouveaux risques apparaissent constamment.

Parmi les indicateurs prévisionnels possibles figurent les indicateurs: KPI et KRI (indicateurs de performance clés et indicateurs de risque clés). Je discute du KRI ici. (Remarque: le KRI fournit des informations. L’analyse de ces informations doit toujours être effectuée par les propriétaires du risque.)


KRI basé sur les résultats

Les indicateurs de risque clés sont souvent des indicateurs d’effet. Ils mesurent si les objectifs fixés, les résultats des processus, ont été atteints.

KRIs sur la base des résultats, sont des indicateurs d’effet. Inversement, les indicateurs d’effet peuvent être considérés comme une sous-classe des indicateurs de risque. Cependant, il est préférable de parler d’indicateurs d’effet chez les personnes qui sont opposées à la gestion des risques comme un autre sujet auquel la direction adhère.

Mais comment atteindre les indicateurs d’effet?

Strictement pris en déterminant les résultats du processus, le projet, l’objectif. Un moyen de déterminer ces résultats n’est pas le résultat des processus ou des projets en tant que phase finale de l’activité, mais son objectif. Cela peut être fait en décrivant le processus / projet en une ou quelques phrases seulement, et en terminant cette description par une ou plusieurs complétions après le mot “en ordre …” ou “pour que …”.

Là, vous définissez des critères que vous souhaitez périodiquement garder à l’esprit pour voir s’ils sont dépassés, ou montrent une tendance, ou font un saut, etc.

Un exemple ici peut créer de la clarté.

Lors de l’exploitation d’un gestionnaire BCM (management de la continuité des activités), il existe un processus qui commence à chaque cycle. Ce cycle peut être décrit dans l’ISO 22301, mais également dans le GPG de TheBCI.org.

Un exemple en est une communication de crise “Parler aux médias avec une voix claire de l’organisation pendant la crise”. Il s’agit là d’un objectif de l’équipe de gestion de crise, car lors d’une crise, l’objectif est que le transfert d’informations soit facilement vérifiable, correct,  aussi complètement que possible etc. et conformément aux exigences du moment. La conséquence indésirable que vous utilisez est que plusieurs personnes ont injustement traité les médias avec tous les flux d’informations erronés pouvant en découler. Vous pouvez donc faire une mesure comme suit:

T = “Somme des (nombre de personnes qui parlent (injustement) aux médias) des crises de ce mois.”

Vous pouvez ensuite illustrer la mesure avec des smileys comme suit:

Smiley Vert: 0 personnes

Smiley jaune: ne pas utiliser dans ce KRI

Smiley rouge: 1 personne ou plus

Smiley gris: la communication aux médias n’a pas été nécessaire du fait de l’absence de règlement de crise ce mois-ci.

KRI basé sur des analyses de risque

Cependant, il existe également une seconde catégorie d’indicateurs de risque clés, qui ne se basent pas sur les résultats ou les objectifs définis, mais qui font référence à l’analyse de risque du processus, du projet ou des objectifs.

Une explication de la méthode peut facilement être illustrée avec la méthode d’analyse de risque Bow-Tie.

Dans la méthode du Bow-Tie, on peut travailler de manière prédictive en regardant le côté gauche (côté préventif) du Bow-Tie, où l’on a complètement percé les causes profondes d’un événement souhaité ou indésirable.

Une fois que les causes pertinentes ont été inventoriées, il faut établir les critères dans lesquels elles se produisent. Par exemple, les accidents (hypothétiques) chez les forestiers culminent lorsque 15% d’entre eux ont moins d’un an d’expérience dans le secteur et que leurs superviseurs ont moins de 30 ans. Ensuite, on peut établir un KRI pour HRM (gestion des ressources humaines) afin de connaître l’âge des conseillers et la combinaison de l’expérience de leurs invités. Si, en cas de nouveau recrutement avec cette combinaison, vous dépassez ce critère, vous pouvez, par exemple, mettre en œuvre une réorganisation de parrain.

Comme on le voit facilement, ces KRI sont certainement importants du fait de leur pouvoir prédictif. L’indicateur KRI sur la base des résultats constatant plutôt que quelque chose ne va pas ou que quelque chose ne va pas.

Ces indicateurs prédictifs peuvent faire la différence entre le succès et l’échec de l’effet recherché. Ils reposent sur les résultats de l’analyse de risque complète. Ils justifient donc une analyse de risque complète selon le modèle Américain.

L’important dans le KRI est qu’il est possible d’adapter les stratégies existantes et de suivre le parcours. On peut anticiper.

Plan de pandémie

s="meta-nav">← Previous

Ce document fournit des outils pour les gestionnaires et les employés de leur propre organisation. Il indique les mesures qu’une entité et les employés individuels peuvent prendre en cas de pandémie pour assurer la continuité des services au maximum. Ceux-ci peuvent être inclus dans un Plan de Continuité d’Activités.

Important: je considère cette connaissance comme open source. Tout le monde peut l’utiliser pour rendre son organisation plus sûre. Mais il ne peut pas être utilisé pour être vendu seul.

 

Icoon

Plan de Pandémie

1 fichier·s   220.17 KB