23. septembre 2017

Audit du plan de continuité d'activité (PCA)

La nécessité de gérer la continuité d'activité

Toute organisation, quelle que soit sa taille, son secteur, ses processus, est exposée au risque de rupture d’activité, tels que l’arrêt des systèmes informatiques, l’impossibilité technique de procéder aux ventes, ou bien encore l’incapacité d’adresser un virement pour paiement des fournisseurs ou des salariés. Ces aléas de type générique représentent un enjeu majeur en matière de maîtrise des affaires et concernent donc toutes les entreprises. Pour certaines d’entre elles, c’est d’ailleurs une obligation réglementaire que de se préoccuper des évènements susceptibles d’altérer la continuité des activités. Les banques par exemple sont tenues d’intégrer dans leur cadre général de management des risques des dispositifs destinés à se protéger contre les ruptures. Mais au-delà des exigences de conformité et sans attendre la loi pour ajuster le système de gestion des risques, il est opportun qu’une organisation s’engage dans une démarche proactive pour le maintien de ses activités. Les ruptures parfois, même minimes, génèrent des effets significatifs, surtout lorsque la clientèle se trouve être impactée par un dysfonctionnement interne. Disons le simplement, cela fait toujours mauvais genre que de ne pas pouvoir répondre aux sollicitations d’un client puisque incapable de traiter sa demande. La réputation de l’organisation s’en trouve immédiatement ternie, alors qu’il faut du temps pour se construire une image respectable et crédible…

 

Les objectifs d'un plan de continuité d'activité

 

Le risque de rupture d’activité est encadré généralement au travers d’un plan dont les objectifs sont de deux ordres : prévenir les dysfonctionnements en matière de continuité d’activité ; anticiper la gestion de crise en cas de défaillance importante. Plus précisément, trois approches sont mises à l’œuvre pour éviter qu’une organisation soit dans l’incapacité de poursuivre ses affaires : réduire la probabilité de survenance des évènements compromettant le déroulement des affaires, s’organiser de façon à être en mesure de fonctionner normalement même en cas de dysfonctionnement perturbateur, maîtriser toute crise majeure suite à une rupture d’activité afin d’en minimiser les pertes. Ces objectifs, compte tenu de leur importance et de leur caractère transversal, nécessitent une implication de tous les collaborateurs sur le sujet. Pour autant, il n’est pas possible de demander à chacun de veiller sur des outils dont le dimensionnement les dépasse, comme à propos d’un système d’informations, qui plus est lorsque celui-ci est intégré. En conséquence, il est plus question ici de sensibilisation que d’implication des personnels concernés, ce qui suppose qu’une fonction soit malgré tout dédiée à la continuité des activités. Pour les organisations de taille importante, cela ne doit pas poser de problème que d’allouer des ressources humaines et matérielles pour encadrer et coordonner la gestion du risque de rupture. Par contre, il en va autrement des PME et autres entreprises de taille intermédiaire bien que celles-ci soient tout aussi concernées par la problématique. Ces organisations auront ainsi tout intérêt à recourir aux services d’un prestataire pour l’établissement et le suivi d’un plan de continuité d’activité. L’audit interne peut également être sollicité pour participer à cette surveillance sans pour autant nuire à l’indépendance et à l’objectivité des auditeurs.

 

Les points d'audit en matière de continuité d'activité

 

En matière de continuité d’activité, l’audit interne s’assurera que de l’existence des éléments et dispositifs suivants :

  • une documentation formalisant la stratégie décidée par la gouvernance de l’organisation pour la continuité des activités ;
  • des plans de secours pour chacun des métiers considérés comme critiques, notamment pour prévoir et encadrer les modalités de repli sur un site extérieur si nécessaire ;
  • une communication entre la fonction dédiée ou le prestataire sélectionné pour la gestion des risques de rupture avec les collaborateurs, afin que ceux-ci soient régulièrement sensibilisés sur le sujet ;
  • la réalisation de tests pour s’assurer que les plans de secours sont efficaces, la profondeur et la fréquence de ces tests étant déterminés sur base de la criticité des activités concernées.

 

Toute gestion des risques d’une organisation cherche à prévenir les événements futurs qui pourraient lui être défavorables, afin de s’en protéger dès aujourd’hui et faire en sorte  qu’ils n’adviennent pas. L’anticipation est au centre de la démarche, laquelle repose sur des facteurs de risque identifiés. Cependant, il n’est jamais aisé de prévoir la façon dont ces facteurs évolueront. Mais en plus de cette difficulté, la continuité d’activité est exposée à une multiplicité sans fin d’événements possibles, donc de facteurs de risques. En effet, rien n’est certain et tout peut arriver !

A lire également

Les limites du contrôle interne

Environnement de contrôle et gestion des risques

Plan d'audit et cycle d'exploitation


Retour à l'accueil

Écrire commentaire

Commentaires: 1
  • #1

    sabrinerosi@hotmail.com (mercredi, 02 mai 2018 20:16)

    je viens de lire le document portant sur le plan de continuité d'activité ,je souhaiterais savoir sur le dispositif relatif au test , doit t'il étre documenté pour s'assurer de l'atteinte des objectifs et ya t il un modèle
    je vous remercie pour la réponse

1 Valable pour les livraisons dans le pays suivant : France. Plus d'infos sur les délais de livraison dans d'autres pays ici : Conditions de livraison et de paiement
2 En vertu du paragraphe § 19 de la loi sur les petites entreprises, nous ne prélevons pas et n'affichons pas la TVA.
Déconnecter | Modifier