le management de la continuité d’activité au service de la performance de votre organisation
Les entreprises évoluent dans un environnement de plus en plus complexe : instabilité des marchés, interdépendance des acteurs, mondialisation des échanges, diversification des risques (technologiques, géopolitiques, environ-nementaux..) et exigence de transparence.Elles doivent, aujourd’hui plus que jamais, réfléchir à leur(s) stratégie(s) de continuité pour rester performante et maintenir la qualité de service au meilleur niveau en toute circonstance.
Dans ce contexte, les établissements financiers ont l’obligation réglemen-taire de disposer d’un Plan de Continuité d’Activité, c’est à dire de mettre en place un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise puis la reprise planifiée des activités » (cf. Règlement 97-02 du Comité de Réglementation Bancaire et Financière).
Un PCA doit donc prévoir l’ensemble des solutions de secours (organisation-nelles, logistiques, techniques, humaines et de communication) permettant de réagir efficacement à une crise non maîtrisable et assurer la reprise rapide des fonctions vitales de l’entreprise en cas d’inaccessibilité des sites de pro-duction ou d’indisponibilité des moyens matériels et/ou humains nécessaires à leur exercice.
2
Catastrophes naturelles
crues de la somme - france - 2001tsunami - océan indien - 2004ouragan Katrina - etats-unis - 2005
défaillanCes d’infrastruCtures
panne du système d’information lse - 2000panne du système d’information - euronext - 2004arrêt des réseaux électriques nationaux -etats-unis - 2008
risques sanitaires
épidémie de sras - Hong Kong - 2003grippe aviaire virus a(H5n1) - asie et afrique 2006
aCCidents / terrorisme
incendie du siège du crédit lyonnais - 1996attentats de new York - 2001explosion usine aZf - 2001
Depuis plusieurs années, de nombreux évènements exceptionnels ont rappelé la vulnérabilité des entreprises face à des catastrophes ou sinistres de grande ampleur dont les conséquences économiques sont désastreuses.
attentats de new-YorK (11 Septembre 2001)
60 milliards € de dommages directs•11 milliards € de pertes d’activités •sur 2001 et 2002108 000 emplois supprimés•(etat de new-York)
explosion usine aZf (21 Septembre 2001)
2,5 milliards € de dommages •directs1300 entreprises sinistrées•1200 emplois supprimés•(toulouse et agglomération)
3
La survenue d’incidents majeurs, même si leur probabilité d’occurrence est faible, est susceptible d’altérer de manière durable l’activité courante d’une entreprise et engendrer de multiples impacts :
Par conséquent, la mise en place d’un PCA répond à plusieurs types d’enjeux :
• Opérationnels : garantir la survie de l’entreprise en minimisant les impacts financiers, juri- diques et d’image d’un sinistre grave,
Selon de nombreuses études statistiques, 80% des entreprises qui subissent une interruption d’activité consécutive à un sinistre majeur disparaissent dans un délai de 18 mois.
• Commerciaux et concurrentiels : favoriser la conquête de marchés en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre,
La capacité à assurer la continuité de son activité constituant un argument commercial de poids, les entreprises sont fréquemment amenées à dévoiler les composantes de leur PCA dans les réponses à appel d’offres.
• Réglementaires : répondre à une obligation légale pour les acteurs du secteur financier (Règle- ment CRBF 97-02, Joint Forum de Bâle, Directives de l’AMF…).
La problématique de la continuité d’activité ne fait plus seulement partie des préoccupations majeures des établissements financiers. Elle s’étend aujourd’hui à d’autres secteurs, notamment les Assurances et Mutuelles (Solvency II, Recommandations de l’Autorité de Contrôle des Assurances et des Mutuelles …).
les enjeux du pca
CommerCiaux
perte de clients et de parts de marchés
finanCiers
perte de revenus, coûts de reprise d’activité
juridiques
sanctions disciplinaires ou financières, voire pénales, pour non respect d’obligations réglementaires
d’image
conséquences négatives sur l’image et la réputation de l’entreprise
4
les objectifs du pca et moYens associés
analYser et réduire les impacts potentiels d’une interruption d’activité
21anticiper et maîtriser les risques opérationnels de grande envergure
catégoriser les incidents potentiels •(le plus probable, le pire, l’extrême..),
sécuriser l’environnement •informatique et de production (back-up applicatifs, de flux et des ressources humaines….),
instaurer une gestion efficace des •« utilities » (eau, transport, électricité, télécommunications) et améliorer la relation avec les prestataires critiques,
mettre en place une structure de •gouvernance du pca (stratégie, veille, analyse et reporting),
participer au renforcement du •dispositif global de prévention des risques opérationnels.
recenser les activités et ressources •vitales,
cartographier les risques et analyser •les impacts d’une interruption des processus métier,
déployer les solutions de continuité •multi-dimensionnelles et/ou multi-territoires,
mettre en place une gestion de crise •perfomante,
assurer la réactivité des collaborateurs •et de l’entreprise.
moYens
objectifs
5
les opportunités pour l’entreprise
Pour justifier la mise en œuvre d’une démarche PCA, comme pour tout projet, il est indispensable de mettre en adéquation les enjeux de l’entreprise (risques encourus vs. bénéfices attendus) et le souci de maîtrise de l’investissement (chiffrage des pertes potentielles vs. coûts de mise en œuvre).
Outre la gestion quotidienne du risque, le projet d’implémentation d’un PCA présente de véritables opportunités pour une entreprise. Cela constitue incontestablement un facteur de bonne gouvernance et un levier d’amélioration continue.
le retour sur investissement d’un pca s’évalue au-delà de simples critères financiers
1 4sur le plan organisationnel
une opportunité •pour procéder à une mise à niveau ou à une révision des organisations et processus clés de l’entreprise
une mise en lumière •des processus transverses de l’entreprise et une amélioration de leur performance
sur le plan financier
un levier permettant •de limiter les pertes financières en cas de sinistre
un levier susceptible •de générer des allègements de charges auprès de certains fournisseurs (révision des primes d’assurance, diminution des franchises…)
2sur le plan concurrentiel
un levier •concurrentiel vis-à-vis de clients auprès desquels communiquer sur sa capacité à gérer l’imprévisible est un facteur différentiant
un levier •permettant de préserver son image de marque
3sur le plan rH
un moyen de •sensibilisation des collaborateurs aux risquesopérationnels
un projet •d’entreprise mobilisateur autour de l’entreprise et fédérateur pour les collaborateurs
6
les facteurs clés de succès d’une démarcHe pca
Le PCA est dorénavant un axe structurant de la politique de couverture des risques de l’entreprise.Il constitue à ce titre une composante de la stratégie de l’entreprise et n’est donc pas une simple solution de back-up informatique, mais un véritable outil de gestion du risque opérationnel et des situations de crise.
L’anticipation et l’adaptation sont au cœur de la démarche. D’une part, l’entreprise doit favoriser l’anticipation, ce qui évite la réflexion dans l’urgence et permet de limiter les effets de chaîne incontrôlés.D’autre part, l’entreprise doit concevoir un dispositif souple et adaptable, aussi bien vis-à-vis des contraintes internes (réorganisation, nouvel applicatif métier...) qu’externes (besoins clients, exigences des prestataires…).
le pca doit être un projet d’entreprise à part entière
1> implication de la direction générale
mobilisation et sensibilisation de tous les collaborateurs>
les solutions de secours ne doivent plus être abordées uniquement sous un angle technique
2>
>
priorisation des enjeux métiers de l’entreprise
mise en place d’une organisation relais et de moyens spécifiques
de nouveaux risques doivent être pris en compte
3>
>
prévention des chocs « extrêmes » (pandémie, terrorisme…)
mise en place de dispositifs spécifiques s’appuyantsur la polyvalence des ressources humaines, la communication et l’analyse préalable des processus.
la stratégie de continuité doit s’inscrire dans une politique globale de maîtrise des risques opérationnels
4>
>
Harmonisation des objectifs de reprise avec le risk management et respect des normes groupe
mutualisation des référentiels de contrôle interne et mise en cohérence des plans d’action
7
notre savoir-faire : une démarcHe éprouvée, séquencée et normée
Equinox Consulting s’appuie sur sa maîtrise du processus de création d’un PCA, sa connaissance de l’ensemble des solutions de secours envisageables et son expertise Métier pour vous aider à anticiper la survenance des risques opérationnels de grande envergure et réduire leurs impacts.
La réussite d’un projet PCA impliquant une construction méthodique et adaptée (en fonction du type d’entreprise, de sa taille, de son secteur..), la démarche d’Equinox se décompose en 4 étapes séquencées :
développement d’une culture pca : sensibilisation et implication des collaborateurs
1analyse des impacts métier et expression du besoin de continuité
évaluation
2définition et mise en place du dispositif organisationnel
documentation
3validation opérationnelle du pca
test
4maintien opérationnel du pca
mise à jour
cadrage du projet
diagnostic
copil copil copil
8
l’étape 1
l’étape 1 permet d’identifier les proCessus vitaux de l’entreprise et définir le besoin de Continuité.
Elle comporte 3 éléments :
l’analYse des impacts métier Evaluer les conséquences que peut avoir une interruption d’activité sur la société et à partir de quand ces impacts (financiers, légaux..) deviennent intolérables et mettent en danger sa pérennité.
l’expression des besoins de continuité Recenser les moyens nécessaires au redémarrage des activités « critiques » en cas d’indisponibilité du site nominal, des installations informatiques et/ou du personnel.
l’analYse de risque Identifier les menaces sur l’informatique, les locaux et les hommes (internes, externes, humaines...) et déduire le risque (périmètre, nature...) découlant des menaces identifiées (gravité, potentialité et durée prévisible) pour mettre en œuvre des mesures d’atténuation.
le lancement d’un projet pca permet de décomposer les fonctions de l’entreprise (stratégie, environnement, processus et collaborateurs clés) et définir des priorités en matière de reprise d’activité.
le risque global est calculé à partir d’une mesure des niveaux de criticité :du risque d’image•du risque financier•du risque juridique et réglementaire•
analyse des impacts métier
9
l’étape 2
l’étape 2 permet d’élaborer la stratégie de Continuité adéquate.
• Choix de la solution de secours interne ou externe
• Préparation du site de repli hébergeant les collaborateurs clés composant les services prioritaires
• Création de la documentation du plan de secours (communication, mise en œuvre, gestion, contrôle)
• Sensibilisation des collaborateurs aux enjeux et procédures du PCALe volet « accompagnement du changement » est essentiel pour assurer la pérennité du projet et l’instauration d’une culture PCA.
• Développement d’une communication de crise efficace et rapide
le plan doit s’adapter aux contraintes de l’entreprise et prévoir une ou plusieurs solutions de continuité complètes et réalisables.
Zoning
structure de gouvernance du pca
10
l’étape 3
l’étape 3 permet de tester le dispositif de Continuité d’aCtivité mis en plaCe.
• Contrôle de la fiabilité des travaux effectués par l’équipe projet et/ou le prestataire du secours externe
• Mise en place d’un PCA opérationnel répondant à l’expression des besoins de continuité par activité et favorisant la « résilience organisationnelle » de l’entreprise
• Maintien d’un niveau de compétence suffisant des équipes de pilotage et évaluation de leur résistance au stress
• Entrainement des équipes opérationnelles pour une réactivité optimale en cas de crise
le plan doit être testé régulièrement (revue des procédures, jeu de rôles, test grandeur nature réel ou « à blanc »…), et ce à chaque introduction d’une application / infrastructure informatique nouvelle ou réorganisation.
fiche de test
11
l’étape 4
l’étape 4 vise à assurer le maintien opérationnel du pCa.
• Définition des principes organisationnels de maintien opérationnel du PCA
• Création des procédures de mise à jour du plan et outils de reporting
• Maintenance effective du PCA et de ses composantes fondamentales (Plan de Sauvegarde Informatique, Plan de gestion de crise, Plan de reprise des moyens techniques de l’entreprise et des activités Métier et Plan de Retour à la Normale)
• Mise en place d’un processus d’amélioration continue de « gestion de crise » - Industrialisation et pérennisation des process
le plan doit être revu et mis à jour régulièrement (au moins une fois par an) pour tenir compte de l’évolution de la technologie et des objectifs de l’entreprise.
extrait d’une procédure type de mise à jour du pca
12
Êtes-vous aujourd’Hui en mesure de prévenir et gérer les risques opérationnels de grande envergure ?
si vous ne disposez pas de plan de Continuité d’aCtivité :
• Avez-vous évalué la criticité des activités de votre société (critique, vitale, stratégique, non sensible) ?
• Avez-vous identifié les différents types d’incidents susceptibles d’interrompre vos activités, leur niveau de gravité et leur probabilité de survenance ?
• Vos fonctions critiques sont-elles les plus à risque ?
• Avez-vous analysé les impacts d’une interruption d’activité, sur les plans économique et financier, opérationnel, juridique, ainsi qu’en terme d’image ?
si vous disposez d’un plan de Continuité d’aCtivité ou d’une solution intermédiaire (plan de reprise..), avez-vous mis en œuvre les solutions adéquates pour Couvrir Ces risques ?
• Quelles solutions de prévention / secours avez-vous déployées pour protéger vos ressources clés (humaines, informatiques,…) ?
• plan de secours informatique et redondance des données• site de secours pour les utilisateurs• mesures de gestion du risque sanitaire• accès à distance
• Avez-vous formalisé un plan d’actions en cas de sinistre déclaré (scénarios de crise, procédure d’évacuation, de crise…) ?
• Disposez-vous d’un PCA mis à jour et testé régulièrement ?
et vous ?
13
business case
création du pca des filiales de la branche gestion d‘actifs d’un groupe bancaire de dimension internationale – plus de 2000 collaborateurs répartis dans 70 pays et près de 400 milliards d’euros d’actifs gérés
des activités vitales reprises en moins d’une heure sur •le site de secours une équipe de coordination opérationnelle et disponible•un centre décisionnel formé et capable de gérer •tout type de criseun dispositif de secours qui se décline par site •géographique, scenarii de crise à couvrir et problématiques métier à traiter plus d’une centaine de procédures opérationnelles, •organisationnelles, et techniques rédigées et tenues à jour
une surveillance it permanente•un environnement de travail répliqué et immédiatement •disponible plus de 300 postes de travail opérationnels dont une •centaine de positions dédiées
une sensibilisation de tous les collaborateurs aux enjeux •et procédures du pcaplus de 500 collaborateurs mobilisés lors du test grandeur •nature
un site de secours aménagé et prêt à accueillir les •collaborateurs impliqués dans le pca plus de 1000 lignes téléphoniques transférées en moins •d’une heure
des moyens de communication de crise diversifiés •et performants
dossier d’analyse des •impacts et d’évaluation des risques expression du besoin •de continuité procédures •opérationnelles procédures de crise •et plan de retour à la normaleprocédures de mise à jour •
procédures techniques •
supports de formation•
Zoning •procédures d’accueil •et de gestion de la téléphonie
cartes mémento •site web•serveur vocal interactif•
organisation
tecHnique
Humaine
logistique
communication
DimenSion réSultatS obtenuS livrableS
mettre en place un dispositif global de gestion de crise documenté, opérationnel, validé et testé pour permettre à •l’entreprise de réagir efficacement à une crise majeure et se mettre en conformité avec les normes réglementaires internationalesorganiser un test grandeur nature pour valider les solutions de continuité prévues par le pca, en contrôler la cohérence •et favoriser la préparation des collaborateurs amenés à intervenir en cas de crise
objectifs de la mission :
14
création du pca des filiales de la branche gestion d‘actifs d’un groupe bancaire de dimension internationale – plus de 2000 collaborateurs répartis dans 70 pays et près de 400 milliards d’euros d’actifs gérés
réunion de la cellule de crise
supports pca
déploiement de la coordination pca
activation des moYens de communication
mobilisation des responsables pcapar la cellule de crise
mobilisation des équipes opérationnelles par les responsables pca
communication interne et externe (clients, autorités, partenaires)
préparation du site de secours
coordination des ressources Humaines
accès au site de secours et reprise immédiate des activités
activation du pca
procédure cellule de crise
moyens de communication internes et externes
procédures organisationnelles et techniques : support pca
procédures opérationnelles
criseactivation du site de secours ou toute autre solution de secours
retour à la normalereprise des activités sur le site nominal
support pca et prestatairesinternes/externes
comex
supports pca
responsables métier
collaborateurs métier
dispositif de déclenchement du pca et outils associés
15
Dédié aux établissements bancaires et financiers, Equinox Consulting a connu une croissance continue depuis sa création en janvier 2004.Equinox Consulting se positionne aujourd’hui comme l’un des cabi-nets de référence auprès des établissements bancaires et institutions financières.Dans la déclinaison de nos prestations de conseil, nous conservons une priorité absolue : comprendre le métier du client et la culture de l’entreprise. Cette exigence nous conduit à rechercher et apporter les réponses les plus adaptées et les plus opérationnelles aux problématiques de nos clients.
63 boulevard haussmann, 75008 parisstandard : 01 53 43 06 43télécopie : 01 53 43 06 40www.equinox-consulting.com
bnp paribas investment partners (bnpp am, fundquest, oam, cnam, private equity...), axa, ribank, carlson wagonlit travel, mondial assistance, santander…
principales références
un cabinet de conseil en organisation et management
une force de plus de 150 consultants au service de vos projets
des équipes métier dédiées à l’ensemble des problématiques de la banque
anticiper, identifier, analYser les évolutions du marcHé afin de contribuer à la performance et à l’excellence de nos clients
ww
w.m
ybea
utifu
l.fr
contacts
olivier baumard - associétél. : 01 53 43 06 43 [email protected]
virginie morel - consultante seniortél. : 06 09 66 00 [email protected]
stratégie opérationnelle
plan stratégique / projet d’entreprise / mode de gouvernance / gestion des situations de crise / étude d’opportunité / approche client / plan de continuité d’activité
organisation et processus
refonte du processus, filières / externalisation, centralisation, partage / étude des performances / allocation des ressources / cadrage et mise en œuvre (fusion, rapprochements)
gestion des projets
pilotage des fusions et rapprochements / formalisation et suivi budgétaire / évaluation des besoins / lotissement des chantiers / reporting et gestion des alertes / formation métier
sYstèmes d’information
aide au choix des solutions / assistance à maîtrise d’ouvrage / mise en œuvre : cahier des charges, recettes utilisateur / reporting et gestion des alertes / formation aux outils
Top Related