Le rôle de la gestion de la continuité des activités dans la croissance en matière de gestion du risque
Comment la gestion de la continuité des activités peut améliorer vos conversations sur les risques avec les assureurs et les fournisseurs
La gestion de la continuité des activités (GCA) a gagné en importance comme élément essentiel des stratégies de gestion des risques des entreprises pendant la pandémie de COVID-19 et les perturbations persistantes de la chaîne d’approvisionnement, et elle conservera cette importance alors que les entreprises se préparent en vue de l’avenir. Les enjeux sont élevés : une panne d’infrastructure peut coûter en moyenne 100 000 $ l’heure, et une panne d’application essentielle peut coûter entre 500 000 $ et 1 M$ l’heure[1].
Dans le marché de l’assurance en évolution que nous connaissons aujourd’hui, de nombreuses entreprises cherchent des moyens de prendre en main leur programme d’assurance. Disposer d’une solide stratégie de GCA peut s’avérer utile. Les entreprises peuvent adopter une approche à trois volets :
Les entreprises peuvent adopter une approche à trois volets :
Communiquer l’information aux assureurs
Les assureurs encouragent de plus en plus les assurés à présenter leurs propres plans de GCA dans le cadre du processus de souscription. Il n’est pas obligatoire de communiquer vos plans de GCA à votre assureur dans le cadre du processus de souscription; cependant, de nombreux assureurs encouragent fortement leurs assurés à le faire.
Les souscripteurs cherchent des preuves que vous avez pris les mesures de planification nécessaires pour protéger vos activités commerciales, y compris contre les cyber-risques croissants. Dans le marché difficile actuel, certains assureurs demandent même à voir des copies du plan. Les leaders en matière de continuité des activités recommandent de considérer votre plan de GCA comme une propriété intellectuelle opérationnelle, et les gestionnaires du risque devraient faire preuve de prudence en ce qui a trait à la communication de détails dans leur intégralité à l’extérieur de l’organisation, et ce, même avec votre souscripteur.
Si votre souscripteur demande à voir votre plan de GCA, restez vague et indiquez à l’assureur que vous disposez d’un programme de gestion de la continuité des activités, que celui-ci comprend, par exemple, un plan d’intervention d’urgence, un plan de gestion de crise, un plan de reprise après sinistre des TI, etc., que vous avez cerné les processus essentiels et les ressources qui s’y rattachent, et que vous les avez testés au fil du temps. Vous pouvez également consulter les normes établies par des organisations comme le Business Continuity Institute afin de solidifier vos plans.
Analyser la résilience des fournisseurs
Les organisations prospères demandent également à voir les plans de GCA de leurs fournisseurs à titre de pratique exemplaire pour mieux comprendre la résilience des fournisseurs et assurer une croissance en matière de gestion du risque. En avisant votre assureur que vous avez examiné les plans de GCA des fournisseurs, vous jouirez également d’une meilleure position au moment du renouvellement.
Il est important que les gestionnaires du risque connaissent les risques liés à leur chaîne d’approvisionnement pour évaluer la résilience des fournisseurs et veiller à ce que les problèmes de ces derniers ne se répercutent pas sur votre entreprise et ne menacent pas vos activités. Pour évaluer vos risques, effectuez une analyse de la résilience de vos fournisseurs clés, c’est-à-dire tout fournisseur dont les engagements manqués pourraient empêcher l’organisation de répondre aux attentes importantes d’une partie prenante, ou qui est essentiel à la reprise après une situation de crise.
Pour commencer, assurez-vous de ne pas dépendre d’un fournisseur tiers. Si c’est le cas, discutez avec la direction et assurez-vous qu’il s’agit d’une décision réfléchie qui tient compte de l’appétit pour le risque global et de la stratégie d’affaires de l’entreprise.
Ensuite, demandez à vos fournisseurs ce qu’ils ont fait pour cerner les risques et quantifier les répercussions sur leurs activités dans les quatre domaines de la GCA suivants : intervention d’urgence, gestion de crise, continuité des activités de l’unité commerciale et reprise des TI.
- Intervention d’urgence. Ont-ils planifié une intervention coordonnée, efficace et rapide en cas d’urgence? Le but est d’éviter ou de réduire au minimum les blessures infligées au personnel et les dommages causés aux biens de l’entreprise.
- Gestion de crise. Ont-ils déterminé leurs stratégies pour gérer un événement, y compris la communication interne et externe nécessaire à la protection de la réputation et de l’image de marque de l’entreprise?
- Continuité des activités de l’unité commerciale. Ont-ils effectué les préparations nécessaires pour déterminer l’incidence des interruptions d’activités potentielles? Cela comprend la formulation de stratégies de reprise, l’élaboration de plans de continuité des activités et la gestion d’un processus de formation, de simulation et de maintenance.
- Reprise après sinistre des TI. Ont-ils dressé la liste des préceptes technologiques de leur programme de continuité des activités en accordant une grande importance à la restauration, éventuellement à un autre endroit, des services du centre de données et des capacités informatiques?
Ensuite, demandez-leur ce qu’ils feront pour soutenir votre entreprise en cas de crise, par une augmentation ou une diminution des matériaux, des services ou des renseignements. Peu importe la réponse que vous recevrez, vous obtiendrez des renseignements importants sur le bien-être opérationnel du fournisseur.
Pendant la conversation, demandez aux personnes à joindre en cas d’urgence quelle place occupe votre entreprise dans leur hiérarchie globale de clients : êtes-vous le principal client ou vous situez-vous plus bas dans la hiérarchie? Ces renseignements essentiels vous aideront à élaborer des plans d’action lorsque des problèmes surviennent.
Évaluer l’agilité de l’entreprise
Les entreprises doivent également évaluer l’agilité de leurs plans de GCA afin de tester leur propre résilience en cas de perturbation. Les leaders en matière de continuité des activités recommandent de vérifier vos propres stratégies, structures et processus pour déterminer dans quelle mesure votre entreprise est prête – ou non – à s’adapter au changement en cas de crise ou de perte de soutien de la part de ses fournisseurs. L’objectif est de protéger les cinq principales variables à risque en cas d’événement : les opérations, les finances, le service à la clientèle, la réputation de la marque et la conformité réglementaire.
- Vérifiez votre stratégie : Que tentez-vous d’accomplir, et en quoi votre intervention d’urgence s’harmonisera-t-elle avec la mission principale de l’organisation?
- Vérifiez votre structure : Quelles sont les ressources dont vous aurez besoin en cas d’événement? Comment allez-vous procéder à la reprise de vos activités, et dans quel ordre? Avez-vous une structure horizontale claire, une responsabilisation associée aux postes et une gouvernance pratique?
- Vérifiez vos processus : Pouvez-vous effectuer des tâches rapidement, votre technologie est-elle à jour, avez-vous une façon normalisée de travailler et faites-vous la promotion de l’apprentissage continu?
Un plan de GCA bien documenté devrait comprendre des solutions de reprise fondées sur la perte d’installations, de TI (à l’échelle locale ou dans l’ensemble de l’entreprise), de personnel clé et de fournisseurs clés.
***
En élaborant un plan de GCA complet et en menant une analyse de la résilience des fournisseurs, vous éviterez que les problèmes en aval d’un fournisseur ne vous créent des difficultés. Dans le marché actuel, une chaîne d’approvisionnement solide, résiliente et adaptable est essentielle à la survie et à la croissance des entreprises.
[1] Adapt and respond to risks with a business continuity plan (en anglais seulement)