Mon dernier article portait sur la gestion des risques de la chaîne d’approvisionnement, qui est un élément clé pour comprendre et atteindre la résilience opérationnelle. Afin de gérer efficacement la résilience dans une organisation, vous devez d’abord la comprendre.
Qu’est-ce que la résilience opérationnelle ?
Mike Campbell, PDG de la société de gestion des risques, Fusion, partage une définition vue dans les documents publics de sa société. Il écrit que « la résilience opérationnelle est la prochaine étape logique pour maintenir votre entreprise en activité. La nécessité de comprendre vos services critiques dans toute l’entreprise et de pouvoir s’adapter à toute perturbation en temps réel afin de continuer à livrer vos clients a été démontré maintes et maintes fois au cours des dernières années. »
Le virage transformationnel
Les programmes traditionnels de continuité des activités et de reprise après sinistre informatique se concentrent sur la récupération ; le concept de résilience opérationnelle va au-delà de la récupération, à la durabilité d’une organisation pendant les perturbations. La récente pandémie a nécessité des capacités similaires à l’échelle mondiale, car il y a eu un passage au travail à distance. Les organisations se sont adaptées à un nouveau modèle de fonctionnement et ont procédé à des ajustements, car de nombreuses entreprises n’avaient jamais envisagé que l’intégralité de leur effectif travaillerait et pourrait travailler à distance. Cette dynamique a également servi de catalyseur pour faire avancer les programmes de transformation numérique dans toutes les organisations.
La résilience opérationnelle nécessite non seulement des améliorations potentielles des capacités, mais, plus important encore, elle nécessite un changement de mentalité et une collaboration. La résilience opérationnelle est un effort multi-acteurs au sein d’une organisation et est le résultat d’une gestion efficace des risques opérationnels. Dans une récente enquête menée par Interos, une entreprise conseillée par moi-même et mon équipe chez Kohli Advisors, plus de 75 % des participants ont reconnu la nécessité d’une collaboration interne et externe comme moyen d’une résilience opérationnelle efficace.
Tout aussi critique, j’ai été témoin d’une attention croissante des régulateurs dans ce domaine au cours des dernières années, déclenchée par un document de consultation publié par les régulateurs financiers britanniques en 2018. et les circonscriptions qui se chevauchent. Avance rapide jusqu’à aujourd’hui, de nombreuses entreprises transforment et/ou font mûrir leurs programmes – les conflits géopolitiques, les cyberattaques et bien d’autres ont des inquiétudes accrues concernant les vulnérabilités en constante expansion.
Simplifier
Un parallèle que j’ai souvent utilisé pour expliquer ce changement est ce que j’appelle une « analogie du bras cassé ».
Une approche traditionnelle de la crise et des perturbations se concentrerait sur la récupération de ce bras cassé et sur ce que vous devez faire immédiatement pour vous rétablir plus tôt et plus rapidement – l’objectif principal étant la récupération et un retour au travail plus rapide.
Du point de vue de la résilience opérationnelle, l’accent n’est pas seulement de récupérer de ce bras cassé, mais de gérer votre quotidien. Cela nécessite que vous compreniez ce qui est nécessaire, ce qui est nécessaire et ce qui peut être retardé. Cela met l’accent sur la gestion des tâches importantes avec le bras cassé, en faisant des compromis sur le retardement de certains éléments et en minimisant l’impact de l’inaction.
Une approche pratique
Le point de départ pour intégrer la résilience opérationnelle consiste à identifier les services critiques qui sont les plus importants et qui peuvent avoir un impact significatif sur le marché externe (clients/clients, distributeurs, etc.).
L’étape suivante consiste à comprendre le service de bout en bout et à cartographier les processus afin d’identifier les actifs (personnes, emplacements, technologies, données et tiers/fournisseurs) dont dépend le service.
Il est important de démêler et de comprendre le niveau d’interconnectivité entre les fonctions et entre les organisations, car cela aidera à identifier les dépendances et les relations les plus critiques pour la prise en charge du service. La cartographie doit intégrer les dépendances dans l’ensemble de l’écosystème opérationnel, au-delà des limites de l’organisation.
Il existe un certain nombre d’outils sur le marché qui peuvent vous aider dans ce voyage. Il existe des outils spécifiques aux outils de résilience opérationnelle et des outils disponibles pour vous aider à cartographier votre chaîne d’approvisionnement. Les données d’Interos montrent que pour chaque fournisseur unique qui existe au premier niveau d’une organisation dans la chaîne d’approvisionnement, ce fournisseur a 10 sous-traitants supplémentaires sur lesquels il s’appuie à son tour. En d’autres termes, les chaînes d’approvisionnement deviennent grandes et rapides. Les grandes organisations réfléchissent à l’intégration des informations et de leur ensemble d’outils – comment peuvent-elles optimiser pour servir l’organisation et augmenter la visibilité.
La mise en place de plans ne suffit pas ; les tests et la surveillance continue de votre paysage de menaces sont essentiels. De nombreuses entreprises adoptent une approche manuelle de ces activités, en publiant périodiquement des enquêtes manuelles, en appelant des fournisseurs et en effectuant des tests isolés, chacune pouvant être améliorée en termes de durabilité et d’efficacité. Cet écart de durabilité et d’efficacité peut être en partie comblé par l’intelligence artificielle (IA) et l’apprentissage automatique (ML). Ces outils peuvent être utilisés pour faciliter et automatiser les tests afin de surveiller de manière proactive les menaces. Dans l’enquête d’Interos, un peu plus de 10 % des organisations utilisent la technologie pour prendre en charge la surveillance continue.
À quel point êtes-vous résilient ?
Connaissez-vous les menaces les plus critiques et les vulnérabilités les plus importantes pour votre organisation ? Tant que vous n’êtes pas en mesure de comprendre votre écosystème et ses dépendances, vous êtes limité dans l’évaluation de la posture de résilience de votre entreprise.
Des informations sur la résilience peuvent être obtenues par une surveillance et des tests proactifs sur l’ensemble de votre chaîne d’approvisionnement. L’identification du ou des maillons les plus faibles qui soutiennent vos services est cruciale pour limiter l’impact et l’exposition à une organisation. Des informations opérationnelles opportunes peuvent être utilisées pour rediriger les ressources et les fonds afin de remédier à ces vulnérabilités critiques qui, à leur tour, contribueront à renforcer la posture de résilience d’une organisation.
Compte tenu des événements de ces dernières années, les conseils d’administration se sont principalement concentrés sur la chaîne d’approvisionnement et les risques liés aux données ces derniers temps. Pas étonnant que les perturbations de la chaîne d’approvisionnement coûtent désormais aux grandes entreprises en moyenne 182 millions de dollars en perte de revenus par an.
Résilience par conception
L’évolution vers une meilleure résilience opérationnelle nécessite un changement transformationnel dans plusieurs domaines. Cela nécessite une approche à multiples facettes qui comprend une communication, une formation et une sensibilisation régulières, et qui intègre la résilience dans l’ADN culturel de l’ensemble de l’organisation. Une approche de résilience doit être intégrée dans des processus allant de l’intégration du personnel à la création de nouvelles entités, au développement de nouveaux produits et à l’acquisition de fournisseurs supplémentaires. Cette approche est fondamentale pour la posture de résilience globale d’une organisation.
La résilience opérationnelle est un effort multi-acteurs, traversant plusieurs domaines de risque et nécessitant une collaboration au sein des organisations à travers l’industrie et l’écosystème. Il s’agit d’un processus sans fin de surveillance continue des parties interdépendantes de votre entreprise et d’identification de celles qui pourraient avoir un effet domino sur votre entreprise.
La première étape la plus cruciale est l’engagement des principales parties prenantes pour commencer à briser les silos au sein de votre organisation et entre les industries.
gb7
