Créer un cadre favorable à la continuité de l’entreprise

Pour assurer une saine gestion de la continuité de l’entreprise, il faut en confier les rênes aux personnes appropriées, établir une bonne planification dans l’ensemble de l’organisation et définir clairement les responsabilités en matière de gouvernance. Par le passé, ces conditions n’étaient pas toujours réunies. Une nouvelle Politique de comptabilité de management publiée sous peu conjointement par CMA Canada et l’American Institute of Certified Public Accountants (AICPA) vise à corriger la situation.

par Eric Krell

Au cours de la dernière année, on a été témoin de nombreux cas démontrant l’importance de la gestion de la continuité de l’entreprise (GCE), tant ici en Amérique du Nord qu’ailleurs dans le monde. Le tsunami qui a ravagé l’Asie du Sud-Est, les attentats terroristes dans le métro de Londres et les ouragans qui ont récemment frappé la côte américaine du golfe du Mexique ont fait ressortir les grandes lacunes de la GCE dans les secteurs pu-blic et privé.

Une nouvelle Politique de comptabilité de management que CMA Canada  publiera sous peu conjointement avec l’American Institute of Certified Public Accountants (AICPA) souligne la fréquence croissante des catastrophes d’origine naturelle ou humaine depuis quelques années. De surcroît, les catastrophes ont des répercussions beaucoup plus lourdes qu’auparavant sur les entreprises en raison des progrès technologiques, de la mondialisation et de l’extension de la chaîne d’approvisionnement. Les entreprises, grandes et petites, n’ont jamais été aussi « connectées » à leurs fournisseurs et à leurs clients.

Jusqu’ici pourtant, les entreprises ont déployé somme toute bien peu d’efforts pour renforcer leur GCE. Une étude récente signale que 93 % des entreprises qui sont privées de leurs systèmes critiques pendant plus de 10 jours ont tôt fait de déclarer faillite. Sans un plan de continuité, une entreprise ne peut survivre.

La nouvelle politique de CMA Canada et de l’AICPA ne se veut pas alarmiste. Elle vise simplement à donner des conseils sur les investissements les plus efficaces et les plus rentables qu’une entreprise peut faire pour améliorer sa GCE.

Elle présente la GCE comme une capacité de l’entreprise et décrit ses principales composantes et ses principaux processus. Elle définit les fonctions et les responsabilités de la haute direction et du conseil d’administration dans la mise en place de pratiques de GCE efficaces. Elle propose un cadre détaillé servant à l’élaboration et au maintien de processus de GCE efficaces et fait un survol des applications logicielles qui facilitent la planification de la continuité de l’entreprise et l’exécution du plan. Les directeurs des services des finances et de la comptabilité, les autres cadres supérieurs, les cadres fonctionnels et opérationnels et les administrateurs devraient y trouver de précieux conseils.

De la reprise sur sinistre à la planification de la continuité

Même si la GCE est loin d’être parfaite, elle a fait beaucoup de progrès au cours des deux dernières décennies. Ce qu’on appelait autrefois la « reprise sur sinistre » se limitait en général aux services de l’informatique ou des technologies de l’information (TI). Il s’agissait principalement de remettre le matériel, les logiciels et les données en état de fonctionnement après une panne de courant. De nos jours, toutefois, on estime que la planification de la continuité de l’entreprise doit embrasser l’ensemble de l’organisation et qu’elle ne peut être la chasse gardée du service des TI. Au cours de la dernière décennie, les mesures de reprise sur sinistre élaborées par les services des TI ont tout de même donné lieu à de nombreuses tactiques efficaces pour assurer la poursuite des activités de l’entreprise. Par exemple, bon nombre des principes qui s’appliquent à la sauvegarde des données et aux systèmes de secours valent également pour la gestion des installations et leur remplacement en cas de sinistre.

Les activités de reprise sur sinistre se sont développées pour englober la planification de la continuité de l’entreprise. L’expression « planification de la continuité de l’entreprise » a donc été utilisée pour traduire le fait que les mesures visant la poursuite des activités ne se limitaient plus aux TI. Plus récemment, des expressions comme « gestion de la continuité de l’entreprise » et « résilience de l’entreprise » ont commencé à se répandre afin de faire ressortir la nécessité de déployer des efforts plus proactifs pour assurer la poursuite de l’exploitation.

Comme l’illustre le diagramme, un plan de continuité commence par une évaluation des objectifs de continuité de l’entreprise par la haute direction. L’étape suivante consiste à déterminer quels sont les processus d’entreprise les plus importants. Les directeurs des finances et d’autres cadres de l’entreprise doivent alors analyser les composantes essentielles de chacun de ces processus : les ressources humaines, les installations, les systèmes technologiques et les données que ces systèmes contiennent. Cette analyse devrait en outre tenir compte des répercussions qu’une interruption inopinée des activités pourrait avoir sur les fournisseurs et les clients.

Les mesures mises en place pour assurer la continuité de l’exploitation devraient faire en sorte que toutes les composantes nécessaires aux processus d’entreprise jugés essentiels soient rétablis dans un laps de temps raisonnable. Pour déterminer ce qui constitue un laps de temps raisonnable, il faut faire appel aux services des finances et de la comptabilité, car on doit bien connaître la valeur de chaque processus pour l’entreprise et le coût de la reprise du processus dans un délai donné.

Le plan devra ensuite être vérifié, mis à l’essai et, au besoin, modifié ou amélioré. La nouvelle Politique de comptabilité de management explique en détail chaque étape du processus de planification de la continuité de l’entreprise.

GCE et gestion des risques

La gestion de la continuité de l’entreprise est un sous-ensemble de la gestion des risques, dont il est question dans la Politique de comptabilité de management intitulée Détermination, mesure et gestion des risques organisationnels pour une meilleure performance. (Pour en savoir davantage, on peut lire l’article « Évaluer les fruits de la gestion stratégique des risques » de Melanie McGee dans le numéro de novembre 2005 de CMA Management.)

Étant donné que la GCE prend de l’importance et qu’elle relevait à l’origine du service des TI, on se demande parfois à qui en incombe la responsabilité et de quelle façon elle s’inscrit dans les activités existantes de gestion des risques de l’entreprise. Ici encore, la gestion de la continuité de l’entreprise est un sous-ensemble d’une stratégie plus vaste de gestion des risques. La plus grande différence entre la gestion des risques et la gestion de la continuité de l’entreprise réside dans leurs extrants. Les stratégies de gestion des risques (l’évitement ou l’atténuation des risques au moyen de la réduction, du partage ou du transfert des risques) sont élaborées avant qu’un événement se produise ou qu’un risque se concrétise. Les stratégies et les tactiques de GCE portent principalement sur les processus qui se produisent après un événement ou une catastrophe. Ces processus visent à assurer la reprise normale des activités de la façon la plus efficace et la plus efficiente possible.

Le document Good Practice Guidelines (2005) du Business Continuity Institute fait une comparaison partielle, mais utile, de ces deux disciplines. En voici un extrait (pour en savoir plus, rendez-vous à www.thebci.org) :

Les entreprises évoluent de nos jours dans un monde où les liens sont plus étroits. De nombreuses organisations, grandes et petites, sont pour ainsi dire arrimées à un nombre croissant de clients, de fournisseurs et de distributeurs au moyen d’un réseau étendu de systèmes technologiques et de processus. Ainsi, même si le volet technologique de la continuité de l’entreprise demeure très important, ces liens accentuent les répercussions d’une interruption prolongée des activités sur toutes les autres parties de l’organisation.

À la suite des attentats terroristes du 11 septembre, par exemple, les grands constructeurs automobiles ont perdu des millions de dollars parce que la fermeture de la frontière canado-américaine avait provoqué une interruption de l’approvisionnement juste à temps et, dans la foulée, des retards de production. Ils n’ont toutefois pas été les seuls : leurs fournisseurs et les fournisseurs de leurs fournisseurs ont eux aussi subi des pertes.

Réponse du gouvernement

Les industries, les entreprises et les gouvernements sont de plus en plus nombreux à adopter des lignes directrices, des règles et des règlements qui représentent, dans la plupart des cas, un pas dans la bonne direction.

Le 7 avril 2004, la Securities and Exchange Commission (SEC) des États-Unis a approuvé la règle 446 de la Bourse de New York portant sur les plans de continuité d’entreprise et les plans d’urgence. Cette nouvelle règle montre dans quelle mesure l’adoption de lois, de règles et de lignes directrices nouvelles oblige un nombre croissant de sociétés nord-américaines à renforcer leur gestion de la continuité.

La Bourse de New York oblige ses membres et ses organisations membres à se doter d’un plan de continuité et à le tenir à jour. Ce plan doit « raisonnablement permettre à l’organisation membre de s’acquitter de ses obligations envers ses clients et de maintenir ses relations existantes avec d’autres maisons de courtage. » Il doit être revu au moins une fois l’an et « mis à jour chaque fois qu’un changement important dans l’exploitation, la structure, les activités ou la localisation de l’entreprise se répercute sur l’information contenue dans le plan de continuité ».

Même si la loi Sarbanes-Oxley n’oblige pas les sociétés ouvertes à se doter d’un plan de continuité et à le tenir à jour, bon nombre de ses principaux objectifs font ressortir la nécessité de gérer efficacement la continuité de l’entreprise. En fait, cette loi a amené des vérificateurs externes à examiner les processus mis en place par leurs clients pour assurer la poursuite des activités.

Avantages et obstacles

Ce n’est pas uniquement parce qu’elles y sont contraintes que les entreprises se dotent d’un plan de continuité. Certaines le font également parce qu’elles en retirent des avantages. En voici quelques-uns, selon le BCI :

• Les entreprises peuvent utiliser la GCE pour montrer à leurs clients éventuels qu’elles seront en tout temps capables de continuer à leur fournir des services ou des produits.
• Des études d’impact rigoureuses et une surveillance constante de la continuité de l’entreprise font parfois ressortir des inefficiences.
• Il est moins coûteux de conserver sa clientèle après un sinistre que d’avoir à trouver de nouveaux clients.
• Une crise bien gérée peut être excellente pour le moral du personnel et contribuer à prévenir le départ d’employés après un sinistre.

Les ouragans de catégorie 5 et les virus et vers informatiques coûteux nous amènent à nous poser les questions suivantes : Qui est responsable de la planification de la continuité? Où est le plan comme tel?

Cela soulève une préoccupation importante : l’engagement des organisations à l’égard de la gestion de la continuité est difficile à soutenir au fil du temps, car plusieurs obstacles les empêchent de se doter de capacités de gestion de la continuité, de les maintenir, d’en exercer la surveillance et de les mettre à jour. Parmi ces obstacles, mentionnons :

Le « biais de la vive impression » : Le « biais de la vive impression » (Vividness bias) (Bazerman et Watkins, 2004 i) s’entend de la tendance de la plupart des individus à envisager des problèmes préoccupants et des risques importants uniquement lorsqu’ils y sont confrontés de façon intensive et répétée.

Les priorités concurrentes : Maints secteurs de l’organisation résistent à la planification de la continuité quand ils doivent répondre à des exigences à plus court terme et plus visibles — les quotas de production, les objectifs de qualité ou les résultats financiers trimestriels cibles.

L’absence de normes : La GCE et la reprise sur sinistre sont des disciplines relativement nouvelles qui ont beaucoup évolué depuis quelques années. Cependant, des normes commencent à peine à émerger, grâce au travail du BCI et de quelques organismes sectoriels. Par exemple, l’Automotive Industry Action Group (AIAG) a récemment publié une ligne directrice sur la gestion des crises le long de la chaîne d’approvisionnement de l’industrie automobile (Crisis Management for the Automotive Supply Chain).

Un bon plan de GCE définit le rôle et les responsabilités des diverses fonctions de l’entreprise et de ses cadres supérieurs afin qu’aucune de ces préoccupations ne nuise à l’organisation. Une stratégie de GCE exige un engagement de la part du conseil d’administration, de la haute direction, du service général des finances et de la comptabilité et de diverses autres fonctions et divisions de l’entreprise. La nouvelle Politique de comptabilité de management décrira ces responsabilités en détail.

On estime de plus en plus que c’est le service des finances qui devrait être le maître d’œuvre de la GCE. Le choix du service qui en sera responsable au premier chef envoie au reste de l’organisation un message clair quant à l’importance accordée au projet. La première étape consiste à préparer votre équipe des finances, et la nouvelle Politique de comptabilité de management de CMA Canada et de l’AICPA pourra vous aider à y parvenir.

Pour obtenir des précisions sur cette politique, rendez-vous sur le site Web de CMA Canada à l’adresse www.cma-canada.org. 

Eric Krell est rédacteur indépendant et se spécialise dans les finances d’entreprise, la gouvernance, les ressources humaines et la gestion des risques. Ses articles sont publiés dans plusieurs magazines spécialisés américains, notamment Consulting Magazine, Business Finance, HR Magazine et 1 to 1 Magazine.

i Max H. Bazerman et Michael D. Watkins, Predictable Surprises: The Disasters You Should Have Seen Coming and How to Prevent Them, Boston, Harvard Business School Press, 2004.

Haut