4 Contexte
4.1 Contexte de l'entreprise
Exigence 1 (voir aussi le quiz)
Contexte de l'entreprise, enjeux internes et externes
Les deux choses les plus importantes n'apparaissent pas au bilan de l'entreprise : sa réputation et ses hommes. Henry Ford
Pour mettre en place avec succès un système de management de la continuité d’activité il faut bien comprendre et évaluer tout ce qui peut influer sur la raison d’être et la performance de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) pendant et après une perturbation. Il convient d’engager une réflexion approfondie après quelques activités essentielles :
- dresser un diagnostic approfondi du contexte unique dans lequel se trouve votre entreprise en prenant en compte les enjeux :
- externes comme l’environnement :
- social
- réglementaire
- économique
- technologique
- internes comme :
- les aspects spécifiques de la culture d’entreprise :
- vision
- raison d’être, finalité, mission
- valeurs essentielles
- le personnel
- les produits et services
- les infrastructures
- les aspects spécifiques de la culture d’entreprise :
- externes comme l’environnement :
- surveiller et passer en revue régulièrement toute information relative aux enjeux externes et internes
- analyser les facteurs pouvant influer sur l’atteinte des objectifs de l’entreprise
Les analyses PESTEL et SWOT peuvent être utiles pour une analyse pertinente du contexte de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) (cf. annexe 07).
Une liste des enjeux externes et internes est réalisée par une équipe pluridisciplinaire. Chaque enjeu est identifié par son niveau d’influence et de maîtrise. La priorité est donnée aux enjeux très influents et pas du tout maîtrisés.
- le diagnostic du contexte comprend les principaux enjeux externes et internes
- les valeurs essentielles comme la culture d’entreprise sont prises en compte
- les résultats de l’analyse du contexte sont largement diffusés
- l’analyse SWOT aide à l’identification des principales menaces et opportunitéss pratiqu
- des enjeux du contexte de l’entreprise comme l’environnement réglementaire ne sont pas pris en compte
- dans certains cas la culture d’entreprise n’est pas prise en compte
- les menaces et faiblesses identifiées dans l’analyse SWOT restent sans action
4.2 Parties prenantes
Exigences 2 à 6
Parties prenantes, exigences légales
Pour bien comprendre les besoins et attentes des parties prenantes il faut commencer par déterminer tous ceux qui peuvent être concernés par le système de management de la continuité d’activité comme par exemple les :
- salariés
- clients
- prestataires externes
- propriétaires
- actionnaires
- banquiers
- distributeurs
- concurrents
- citoyens
- voisins
- organisations sociales et politiques
Chaque partie prenante est identifiée par son niveau d’influence et de maîtrise. La priorité est donnée aux parties prenantes très influentes et pas du tout maîtrisées. Une liste des parties prenantes est réalisée par une équipe pluridisciplinaire, cf. annexe 08.
Anticiper les besoins et attentes raisonnables et pertinentes des parties prenantes c’est :
- satisfaire aux exigences légales et réglementaires
- se préparer à faire face aux menaces
- saisir des opportunités d’amélioration
Le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) Identifier les exigences légales de continuité d’activité permet de prendre en compte les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) obligatoires et de les respecter.
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) peuvent concerner :
- la réponse aux incidents (gestion des urgences)
- la continuité d’activité (plan de continuité d’activité, programme d’exercices)
- la gestion du risque
- la gestion des dangers (matières chimiques)
Quand une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) applicable est acceptée celle-ci devient une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) interne du SMCA.
- la liste des parties prenantes est à jour
- les besoins et attentes des parties prenantes sont établis au moyen de rencontres sur place, enquêtes, tables rondes et réunions (mensuelles ou fréquentes)
- l’application des exigences légales et réglementaires est une démarche de prévention et non une contrainte
- des exigences réglementaires et légales ne sont pas prises en compte
- les attentes des parties prenantes ne sont pas déterminées
- la liste des parties prenantes ne contient pas leur domaine d’activité
4.3 Domaine d'application
Exigences 7 à 15
Domaine d'application du SMCA, risques non inclus
Dans beaucoup de domaines, le gagnant est celui qui est le mieux renseigné. André Muller
Le domaine d’application (ou autrement dit le périmètre) du présent module s’applique au système de management de la continuité d’activité (ou autrement dit à la gestion du risque de crise) dans l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) et concerne :
- la localisation
- les produits et services
- les activités et processus
- les ressources
Le domaine d’application du SMCA est disponible aux parties prenantes, cf. annexe 09.
Quand une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) ne peut pas être appliquée, une justification est incluse dans le document.
Le domaine d’application du SMCA de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) est établi en tenant compte :
- de sa raison d’être
- de ses produits et services
- de son contexte (enjeux internes et externes)
- des exigences des parties prenantes
- de la complexité de sa structure
Questions qui demandent des réponses :
- quel est l’activité de l’entreprise la plus vulnérable ?
- quel est le niveau maximal tolérable de perturbation ?
- quelles sont les obligations réglementaires applicables ?
- quels sont les risques prioritaires ?
- quelle crise peut nous surprendre ?
- l’équipe de crise est-elle préparée ?
- comment protéger le personnel et l’outil de travail ?
- quel est le plan pour maintenir une partie de l’activité ?
- comment rétablir l’activité normale dans les meilleurs délais ?
Dans ce module ne sont pas inclus spécifiquement les risques comptables et les risques extrêmes liés :
- aux crises financières
- à l’assurance
- à la fraude fiscale
- aux pièces de contrefaçon
- à la corruption
Pour un cirque les risques susceptibles de provoquer des soucis d’une représentation comprennent une coupure de courant, une tempête, l’absence de plusieurs acteurs ou techniciens (maladie ou conflit social), des problèmes de transport importants pour le public.
Après avoir identifié, analysé et évalué les risques qui pourraient perturber la représentation, la direction doit décider quelles actions appliquer pour réduire les chances d'annulation.
La continuité d’activité concerne de nombreux domaines et risques :
- le personnel
- la réputation de l’entreprise
- les produits et projets
- l’assurance
- la rupture d’approvisionnement
- le manque de compétences
- les menaces terroristes
- les catastrophes naturelles
Pour bien déterminer le domaine d’application du SMCA sont pris en compte les spécificités du contexte de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) comme :
- les enjeux (cf. paragraphe 4.1)
- les produits et services
- la culture d’entreprise
- l’environnement :
- social
- financier
- technologique
- économique
- les exigences des parties prenantes (cf. paragraphe 4.2)
- les processus externalisés
- le domaine d’application est pertinent et disponible sur simple demande
- les exigences non applicables sont justifiées par écrit
- certains ateliers sont en dehors du domaine d’application du SMCA sans justification
- le domaine d’application est obsolète (la nouvelle filiale n’est pas incluse)
4.4
4.4 SMCA
Exigence 16
Exigences du SMCA, pièges à éviter
Mieux vaut prévenir que guérir
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 22301 concernent :
- le contexte de l’entreprise
- la politique et les objectifs de continuité d’activité
- la réponse aux perturbations
- l’évaluation de la performance du SMCA
- l’amélioration continue du SMCA
Pour cela :
- le système de management de la continuité d’activité est :
- établi
- documenté (un système documentaire simple et suffisant est mis en place)
- mis en œuvre et
- amélioré en continu
- la politique continuité d’activité, les objectifs, les ressources et l'environnement du travail sont déterminés
- les menaces sont identifiées et les actions pour les réduire sont établies (cf. paragraphe 6.1)
- les processus essentiels nécessaires au SMCA sont maîtrisés :
- les ressources correspondantes assurées
- les éléments d’entrée et de sortie déterminés
- les informations nécessaires disponibles
- les pilotes nommés (responsabilités et autorités définies)
- les séquences et les interactions déterminées
- chaque processus est mesuré et surveillé (critères établis), les objectifs sont établis et les indicateurs de performance analysés
- les performances des processus sont évaluées
- les changements nécessaires sont introduits pour obtenir les résultats attendus
- les actions pour obtenir l’amélioration continue des processus sont établies
- le strict minimum nécessaire (« autant que nécessaire ») des documents sur les processus est tenu à jour et conservé ( )
Pièges à éviter :
- faire de la sur-qualité :
- une opération inutile est réalisée sans que cela ajoute de la valeur – c’est un gaspillage, cf. les outils qualité E 12
- faire écrire toutes les procédures par le responsable du PCA :
- la sécurité est l'affaire de tous, « le personnel a conscience de la pertinence et de l’importance de chacun à la contribution aux objectifs », ce qui est encore plus vrai pour les chefs de départements et les pilotes de processus
- oublier les spécificités liées à la culture d'entreprise :
- innovation, luxe, secret, management autoritaire (Apple)
- culture forte liée à l’écologie, à l’action et la lutte, tout en cultivant le secret (Greenpeace)
- culture d’entreprise fun et décalée (Michel&Augustin)
- entreprise libérée, l’homme est bon, aimer son client, rêve partagé (Favi, cf. F 50)
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 22301 sont montrées en figure 4-1 :
Figure 4-1. Les exigences de la norme ISO 22301
Un SMCA efficace est surtout orienté sur :
- les conséquences potentielles
- la capacité des activités critiques
- les exercices de simulation en équipe
- les réponses flexibles
N’hésitez pas à chercher des réponses dans l’ISO 22313 (« Lignes directrices sur l’utilisation de l’ISO 22301 ») quand vous ne les trouvez pas dans le présent module, cf. paragraphe 2.2.
- la cartographie des processus contient assez de flèches pour bien montrer qui est le client (interne ou externe)
- beaucoup de flèches (plusieurs clients) sont utilisées pour les processus (aucun client n’est oublié)
- pendant la revue de processus la valeur ajoutée du processus est bien dévoilée
- l’analyse de la performance des processus est un exemple de preuve d’amélioration continue de l’efficacité du SMCA
- la direction surveille régulièrement les objectifs et les plans d’action
- les engagements de la direction relatifs à l’amélioration continue sont largement diffusés
- la finalité de chaque processus est clairement définie
- certains éléments de sortie de processus ne sont pas correctement définis (clients non pris en compte)
- critères d’efficacité des processus non établis
- pilote de processus non formalisé
- processus externalisés non déterminés
- des activités bien réelles ne sont pas identifiées dans aucun processus
- maîtrise des prestations externalisées non décrite
- séquences et interactions de certains processus ne sont pas déterminées
- critères et méthodes pour assurer la performance des processus non définis
- surveillance de la performance de certains processus non établie
- les ressources du SMCA ne permettent pas d’atteindre les objectifs de continuité d’activité
- le SMCA n’est pas à jour (nouveaux processus non identifiés)