Malgré ce que beaucoup croient encore, la continuité des activités ne consiste pas seulement à créer un plan de récupération des ressources informatiques en cas de panne. Bien sûr, cela en fait partie, mais la gestion de la continuité des activités, ou BCM, consiste vraiment à avoir un plan (y compris les processus et ressources) pour faire face aux situations critiques et continuer à fonctionner – même en mode dégradé – et limiter

En ce sens, il est très proche de la gestion des risques, où l'intention est de documenter, d'analyser et de répondre aux incertitudes.

Pourquoi les deux processus se sont-ils séparés pendant si longtemps?

Malheureusement, je n'ai pas de réponse complète à cette question, mais je partagerai tout de même ce que j'ai appris de diverses interactions avec les parties prenantes des deux mondes (oui, dans plusieurs cas, elles sont encore séparées):

  • la continuité appartient à l'informatique et se concentre uniquement sur les perturbations informatiques. Rappelez-vous quand la cybersécurité était seulement perçue comme un problème informatique? Eh bien, dans de nombreuses organisations, c'est toujours le cas pour BCM.
  • La continuité des activités appartient à l'environnement, la santé et la sécurité (EH & S). De nombreuses organisations gèrent leurs risques EH & S en silos. Puisque l'une des ressources les plus importantes pour une organisation sont les humains, certaines organisations ont assigné le sujet de continuité à leur équipe EH & S.

Ce n'est pas fatal, d'autres intègrent BCM et GRC

Ne vous méprenez pas; L'informatique et les humains sont des atouts essentiels pour le bon fonctionnement d'une organisation. Dans le monde d'aujourd'hui, aucune organisation ne peut produire et livrer ses biens et services sans ces deux ressources. Mais ce ne sont pas les seules dépendances que les entreprises devraient considérer lorsqu'elles documentent leurs plans de continuité.

Un simple plan en trois étapes

1. Réutiliser la documentation de votre processus

  • Si les processus ont été documentés par le contrôle interne et la gestion d'audit, ne valent-ils pas la peine d'être exploités? Il y a toujours une perception que le contrôle et la vérification se concentrent exclusivement sur les rapports financiers, mais ce n'est tout simplement pas vrai. Les deux ont une intention en tête: aider l'entreprise à mieux performer – pour tous les processus.
  • Par conséquent, BCM pourrait (et devrait) réutiliser les processus documentés par ces équipes, ne serait-ce que pour s'assurer qu'ils couvrent les processus identifié comme le plus important.

2. Tirer parti de votre registre des risques

  • Les risques sont partout, parfois dans tant de registres. Mais pour les entreprises qui ont un cadre de gestion des risques d'entreprise, le registre central des risques est la seule source de vérité. Au lieu de créer son propre sous-ensemble, BCM devrait vraiment tirer parti du registre des risques pour s'assurer que les risques les plus critiques identifiés sont couverts par un plan approprié.
  • Cela aidera automatiquement le propriétaire à réduire l'impact d'un risque. ça se manifeste. La collaboration entre les équipes de continuité des affaires et les équipes opérationnelles devient donc une évidence!

3. Utilisez les incidents – et les quasi-incidents – pour les commentaires

  • L'amélioration continue de l'atténuation des risques est de la plus haute importance. Rien ne pourrait être pire pour une organisation que d'avoir un ensemble de réponses aux risques (plans d'action, contrôles, politiques, plans de continuité!) Qui sont inefficaces parce qu'elles sont obsolètes.
  • Il est inestimable pour les propriétaires de risques d'être capable d'examiner les incidents qui ont déclenché un plan de continuité et d'apprendre de ce qui a été fait en réaction. En effet, la documentation de l'incident de la vie réelle devrait inclure tous les déclencheurs, pas seulement les premiers, mais aussi l'incident développé. Cela va donc au-delà d'une simple analyse des causes fondamentales qui relève davantage d'un exercice théorique.
  • En conséquence, le propriétaire du risque pourrait ajouter davantage de conducteurs potentiels au registre des risques et concevoir un système global. stratégie d'atténuation qui devrait empêcher le risque de se transformer en crise – ou du moins l'atténuer plus rapidement à l'avenir.

Et vous? Votre entreprise a déjà intégré les deux processus BCM et GRC ensemble? Si oui, n'hésitez pas à nous faire part de vos impressions sur ce blog ou via Twitter @TFrenehard

Cet article est initialement paru sur le blog SAP Analytics et est republié avec sa permission. ]

Rejoignez l'organigramme de SAP Finance: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube

<! – Commentaires ->