4 Contexte  p

 

4.1 Contexte de l'entreprise 

Exigence 1 (voir aussi le quiz)

Contexte de l'entreprise, enjeux internes et externes

contexte

Les deux choses les plus importantes n'apparaissent pas au bilan de l'entreprise : sa réputation et ses hommes. Henry Ford

Pour mettre en place avec succès un système de management de la continuité d’activité il faut bien comprendre et évaluer tout ce qui peut influer sur la raison d’être et la performance de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) pendant et après une perturbation. Il convient d’engager une réflexion approfondie après quelques activités essentielles :

Les analyses PESTEL et SWOT peuvent être utiles pour une analyse pertinente du contexte de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) (cf. annexe 07). enregistrement

Une liste des enjeux externes et internes est réalisée par une équipe pluridisciplinaire. Chaque enjeu est identifié par son niveau d’influence et de maîtrise. La priorité est donnée aux enjeux très influents et pas du tout maîtrisés.

Bonnes pratiques
Écarts à éviter

Haut de page

 

4.2 Parties prenantes

Exigences 2 à 6

Parties prenantes, exigences légales

parties prenantes

Il n'y a qu'une seule définition valable de la finalité de l'entreprise : créer un client. Peter Drucker

Pour bien comprendre les besoins et attentes des parties prenantes il faut commencer par déterminer tous ceux qui peuvent être concernés par le système de management de la continuité d’activité comme par exemple les :

  • salariés
  • clients
  • prestataires externes
  • propriétaires
  • actionnaires
  • banquiers
  • distributeurs
  • concurrents
  • citoyens
  • voisins
  • organisations sociales et politiques

Chaque partie prenante est identifiée par son niveau d’influence et de maîtrise. La priorité est donnée aux parties prenantes très influentes et pas du tout maîtrisées. Une liste des parties prenantes est réalisée par une équipe pluridisciplinaire, cf. annexe 08. enregistrement

Histoire vraie
 
Le client est roi mais on peut quand même lutter contre l'impolitesse. Exemple du restaurant niçois La petite Syrah et les prix du café :
café cher

Anticiper les besoins et attentes raisonnables et pertinentes des parties prenantes c’est : 

  • satisfaire aux exigences légales et réglementaires
  • se préparer à faire face aux menaces
  • saisir des opportunités d’amélioration

Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) Identifier les exigences légales de continuité d’activité permet de prendre en compte les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) obligatoires et de les respecter. processus 

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) peuvent concerner :

  • la réponse aux incidents (gestion des urgences)
  • la continuité d’activité (plan de continuité d’activité, programme d’exercices)
  • la gestion du risque
  • la gestion des dangers (matières chimiques)

Quand une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) applicable est acceptée celle-ci devient une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) interne du SMCA.

Bonnes pratiques
  • la liste des parties prenantes est à jour
  • les besoins et attentes des parties prenantes sont établis au moyen de rencontres sur place, enquêtes, tables rondes et réunions (mensuelles ou fréquentes)
  • l’application des exigences légales et réglementaires est une démarche de prévention et non une contrainte
Écarts à éviter
  • des exigences réglementaires et légales ne sont pas prises en compte
  • les attentes des parties prenantes ne sont pas déterminées
  • la liste des parties prenantes ne contient pas leur domaine d’activité

Haut de page

 

4.3 Domaine d'application

Exigences 7 à 15

Domaine d'application du SMCA, risques non inclus

domaine

Dans beaucoup de domaines, le gagnant est celui qui est le mieux renseigné. André Muller

Le domaine d’application (ou autrement dit le périmètre) du présent module s’applique au système de management de la continuité d’activité (ou autrement dit à la gestion du risque de crise) dans l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) et concerne :

  • la localisation 
  • les produits et services
  • les activités et processus
  • les ressources

Le domaine d’application du SMCA est disponible aux parties prenantes, cf. annexe 09. enregistrement

Quand une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) ne peut pas être appliquée, une justification est incluse dans le document. 

Le domaine d’application du SMCA de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) est établi en tenant compte :

  • de sa raison d’être
  • de ses produits et services
  • de son contexte (enjeux internes et externes)
  • des exigences des parties prenantes
  • de la complexité de sa structure

question Questions qui demandent des réponses :

  • quel est l’activité de l’entreprise la plus vulnérable ?
  • quel est le niveau maximal tolérable de perturbation ?
  • quelles sont les obligations réglementaires applicables ?
  • quels sont les risques prioritaires ?
  • quelle crise peut nous surprendre ?
  • l’équipe de crise est-elle préparée ?
  • comment protéger le personnel et l’outil de travail ? 
  • quel est le plan pour maintenir une partie de l’activité ? 
  • comment rétablir l’activité normale dans les meilleurs délais ? 

Dans ce module ne sont pas inclus spécifiquement les risques comptables et les risques extrêmes liés :

  • aux crises financières
  • à l’assurance
  • à la fraude fiscale
  • aux pièces de contrefaçon
  • à la corruption
Exemple d’un domaine d’application

Pour un cirque les risques susceptibles de provoquer des soucis d’une représentation comprennent une coupure de courant, une tempête, l’absence de plusieurs acteurs ou techniciens (maladie ou conflit social), des problèmes de transport importants pour le public. 

Après avoir identifié, analysé et évalué les risques qui pourraient perturber la représentation, la direction doit décider quelles actions appliquer pour réduire les chances d'annulation.

La continuité d’activité concerne de nombreux domaines et risques :

  • le personnel
  • la réputation de l’entreprise
  • les produits et projets
  • l’assurance
  • la rupture d’approvisionnement
  • le manque de compétences
  • les menaces terroristes
  • les catastrophes naturelles

Pour bien déterminer le domaine d’application du SMCA sont pris en compte les spécificités du contexte de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) comme :

  • les enjeux (cf. paragraphe 4.1)
  • les produits et services
  • la culture d’entreprise
  • l’environnement :
    • social
    • financier
    • technologique
    • économique
  • les exigences des parties prenantes (cf. paragraphe 4.2)
  • les processus externalisés
Bonnes pratiques
Écarts à éviter

Haut de page

 

4.4

Haut de page

 

4.4 SMCA

Exigence 16

Exigences du SMCA, pièges à éviter

SMCA

Mieux vaut prévenir que guérir

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 22301 concernent :

  • le contexte de l’entreprise 
  • la politique et les objectifs de continuité d’activité
  • la réponse aux perturbations
  • l’évaluation de la performance du SMCA
  • l’amélioration continue du SMCA

Pour cela :

  • le système de management de la continuité d’activité est :
    • établi
    • documenté (un système documentaire simple et suffisant est mis en place)
    • mis en œuvre et 
    • amélioré en continu
  • la politique continuité d’activité, les objectifs, les ressources et l'environnement du travail sont déterminés
  • les menaces sont identifiées et les actions pour les réduire sont établies (cf. paragraphe 6.1)
  • les processus essentiels nécessaires au SMCA sont maîtrisés :
    • les ressources correspondantes assurées
    • les éléments d’entrée et de sortie déterminés
    • les informations nécessaires disponibles
    • les pilotes nommés (responsabilités et autorités définies)
    • les séquences et les interactions déterminées
    • chaque processus est mesuré et surveillé (critères établis), les objectifs sont établis et les indicateurs de performance analysés
    • les performances des processus sont évaluées
    • les changements nécessaires sont introduits pour obtenir les résultats attendus
    • les actions pour obtenir l’amélioration continue des processus sont établies
  • le strict minimum nécessaire (« autant que nécessaire ») des documents sur les processus est tenu à jour et conservé (procédure enregistrement)

Pièges à éviter : pièges

  • faire de la sur-qualité : exemple
    • une opération inutile est réalisée sans que cela ajoute de la valeur – c’est un gaspillage, cf. les outils qualité E 12
  • faire écrire toutes les procédures par le responsable du PCA : exemple
    • la sécurité est l'affaire de tous, « le personnel a conscience de la pertinence et de l’importance de chacun à la contribution aux objectifs », ce qui est encore plus vrai pour les chefs de départements et les pilotes de processus
  • oublier les spécificités liées à la culture d'entreprise : exemple
    • innovation, luxe, secret, management autoritaire (Apple)
    • culture forte liée à l’écologie, à l’action et la lutte, tout en cultivant le secret (Greenpeace)
    • culture d’entreprise fun et décalée (Michel&Augustin)
    • entreprise libérée, l’homme est bon, aimer son client, rêve partagé (Favi, cf. F 50)

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 22301 sont montrées en figure 4-1 :

exigences

Figure 4-1. Les exigences de la norme ISO 22301

Un SMCA efficace est surtout orienté sur :

  • les conséquences potentielles
  • la capacité des activités critiques
  • les exercices de simulation en équipe
  • les réponses flexibles

N’hésitez pas à chercher des réponses dans l’ISO 22313 (« Lignes directrices sur l’utilisation de l’ISO 22301 ») quand vous ne les trouvez pas dans le présent module, cf. paragraphe 2.2. 

Bonnes pratiques
  • la cartographie des processus contient assez de flèches pour bien montrer qui est le client (interne ou externe)
  • beaucoup de flèches (plusieurs clients) sont utilisées pour les processus (aucun client n’est oublié)
  • pendant la revue de processus la valeur ajoutée du processus est bien dévoilée
  • l’analyse de la performance des processus est un exemple de preuve d’amélioration continue de l’efficacité du SMCA
  • la direction surveille régulièrement les objectifs et les plans d’action
  • les engagements de la direction relatifs à l’amélioration continue sont largement diffusés
  • la finalité de chaque processus est clairement définie
Écarts à éviter
  • certains éléments de sortie de processus ne sont pas correctement définis (clients non pris en compte)
  • critères d’efficacité des processus non établis
  • pilote de processus non formalisé
  • processus externalisés non déterminés
  • des activités bien réelles ne sont pas identifiées dans aucun processus
  • maîtrise des prestations externalisées non décrite
  • séquences et interactions de certains processus ne sont pas déterminées
  • critères et méthodes pour assurer la performance des processus non définis
  • surveillance de la performance de certains processus non établie
  • les ressources du SMCA ne permettent pas d’atteindre les objectifs de continuité d’activité
  • le SMCA n’est pas à jour (nouveaux processus non identifiés)

Haut de page