PCA, ISO 22301, SMCA : ces sigles vous sont peut-être devenus plus familiers ces dernières semaines. Ils ont tous trait à la continuité d’activité en période de crise. À l’heure du déconfinement et du début des réflexions sur l’après-COVID, quelles leçons tirer de la crise pour les plans de continuité d’activité ? Focus sur les directions financières.
Le PCA : définition et enjeux
Qu’est-ce qu’un plan de continuité d’activité ?
La norme ISO 22301, dédiée à la gestion de la continuité d’activité, le définit comme un « processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeurs ».
Concrètement, le plan de continuité d’activité (PCA) représente l’ensemble des mesures qui visent à assurer le maintien – éventuellement de manière dégradée – de l’activité d’une entreprise (ou autre entité) face à divers scénarios de crises, puis la planification de la reprise d’activité normale.
Sont-ils répandus en France ?
Selon Me Lionel Vuidard, avocat associé en droit du travail au cabinet Linklaters, interrogé début mars par l’Usine Nouvelle, “seuls les grands groupes se sont dotés de ces plans en 2009, avec la crise du H1N1. […] Du côté des entreprises qui n’ont pas ce type de plan, encore peu répandu, il y a une prise de conscience accélérée qu’elles ont intérêt à s’en doter.”
Une prise de conscience s’est confirmée, comme le démontre une étude menée par Grant Thornton*. Sur plus de 5000 dirigeants interrogés, 80% affirme que leur organisation a mis en place une cartographie des risques. Une bonne initiative, qui reste cependant encore inachevée pour la plupart : seules 15% des organisations ont effectivement mis en place leur PCA, et 45% sont en cours de formalisation.
Quels sont les enjeux du PCA ?
Si les entreprises sont de plus en plus nombreuses à réfléchir à la formalisation d’un PCA, c’est que les enjeux sont élevés. Le plan de continuité d’activité peut sauver la vie d’une entreprise. Comment ? Le PCA permet d’éviter certains événements, ou tout du moins d’en limiter les effets. Une entreprise qui a travaillé sur un PCA, et donc sur sa vulnérabilité face à différents risques, sera plus à même de réagir efficacement en cas de crise pour protéger ses salariés et son activité. Les crises précédentes, et celle du COVID-19 le confirmeront certainement, ont montré que les entreprises qui avaient mis en place un PCA étaient plus résilientes que les autres, et qu’elles avaient pu reprendre le cours normal de leur activité plus rapidement.
Mise en place et enrichissement d’un PCA
L’intérêt du plan de continuité d’activité est établi, cependant, il est probable que vous ne sachiez pas par où commencer pour le mettre en place. L’exercice peut sembler difficile, c’est pourquoi nous allons vous livrer quelques éléments pratiques pour mettre en place un PCA efficace, qui vous permettra de protéger votre entreprise et vos salariés.
- La première étape est un travail de recherche et de prévention : une cartographie des risques et des vulnérabilités de l’entreprise. Quelles sont les ressources critiques ? Qui sont les salariés indispensables ? Sur chaque ligne métier (production, RH, SI…), il faut identifier les besoins de continuité, le niveau de service minimum indispensable. Quelles actions faut-il mettre en place pour être sous ce seuil de vulnérabilité, en fonction de contextes différents (épidémie, catastrophe naturelle …) ? L’établissement de ces scénarios de crise permettra d’être réactif face au surgissement d’une vraie crise, et de limiter l’impact sur l’activité de l’entreprise.
Un point central : le Code du travail contient une obligation de protection des salariés en premier lieu. En cas de conflit entre la protection des salariés et le maintien de l’activité de l’entreprise, la première prévaudra toujours. - Il faut ensuite désigner les responsables de la mise en place du PCA au sein de l’entreprise pour gérer la crise. Pour anticiper toutes les situations, il est nécessaire de nommer des remplaçants, en cas d’indisponibilité des premières personnes désignées.
- L’intérêt de travailler sur un plan de continuité d’activité hors période de crise est de pouvoir tester son PCA par des exercices de mise en situation. Cela permet de l’ajuster, et également d’habituer les équipes en charge à son déploiement.
- Enfin, une étape trop souvent oubliée par les entreprises est celle de l’enrichissement du PCA. Comme l’indiquent Yves Mérian et François Tête, membres du Club de la continuité d’activité et contributeurs actifs à la norme ISO afférente, “il n’y a pas deux crises qui se ressemblent ! […] C’est pourquoi un PCA doit se penser en amélioration continue : les leçons d’une crise doivent venir enrichir le plan, pour mieux gérer la crise d’après.”
Pour formaliser votre plan de continuité d’activité, nous vous conseillons de vous référer à des méthodologies détaillées et éprouvées, notamment la norme ISO 22301, qui permet d’établir un plan complet.
PCA et Directions financières : quelles interactions ?
Comme toutes les autres directions de l’entreprise, la direction financière a un rôle clef à jouer dans l’établissement du plan de continuité d’activité. D’une part, pour veiller à la bonne santé financière de l’entreprise, d’autre part, pour établir les process d’interaction avec les fournisseurs.
C’est d’ailleurs un point qui pêche dans un certain nombre d’entreprises, avec seulement 35% des organisations qui ont mis en place une cartographie des risques impliquant leurs fournisseurs.*
C’est pourtant un point clé des situations de crise, comme l’a démontré celle du COVID-19, car les risques de fraudes se multiplient. Or, la plupart des directions financières manquent aujourd’hui d’automatisation des tâches, et pour beaucoup les contrôles se font encore manuellement. En situation exceptionnelle (comme en cas de crise), cela n’est plus possible. Vous pouvez d’ailleurs retrouver nos conseils pour gérer votre direction financière à distance, ainsi que les bonnes pratiques de gestion de la relation fournisseurs face à la crise.
Il est donc indispensable d’intégrer la digitalisation des contrôles des tiers au PCA, afin de respecter les normes de sécurité et de conformité des processus dans toutes les situations. Et si cela vous semble complexe à mettre en place, détrompez-vous ! “Le maintien en conditions opérationnelles des PCA est souvent perçu comme une corvée administrative et chronophage, alors qu’il existe des solutions digitales ou innovantes pour le faciliter” souligne d’ailleurs Clotilde Marchetti associée chez Grant Thornton.
Un outil comme Trustpair vous permet de protéger votre entreprise en toutes circonstances, sans complexité. Trustpair vérifie l’identité des tiers afin de sécuriser l’ensemble de votre chaîne de paiement. Vous pouvez ainsi contrôler vos RIB fournisseurs et auditez votre référentiel fournisseurs en temps réel pour être sûr de toujours payer le bon fournisseur sur le bon compte bancaire. Pour anticiper encore mieux les prochaines crises, qui ne manqueront pas de survenir selon certains experts, pourquoi ne pas intégrer dès à présent des outils externes, garantissant la sécurité de vos process et protégeant votre entreprise contre les fraudes ? Notre équipe est à votre écoute pour en discuter.
POINTS A RETENIR
- Le Plan de Continuité d’Activité est un projet complexe qui suit plusieurs étapes définies. Après avoir réalisé la cartographie des risques et des vulnérabilités de l’entreprise, il faut désigner les responsables de la mise en place du PCA. Le but est de définir et d’ajuster le PCA avant que la crise ne survienne et de toujours tirer une conclusion post-crise pour procéder à l’enrichissement du Plan de Continuité.
- Les Directions financières font partie intégrante du déploiement d’un PCA. D’une part, pour s’assurer de la bonne santé financière de l’entreprise, d’autre part, pour établir les process d’interaction avec les fournisseurs. Il est indispensable d’intégrer la digitalisation des contrôles des tiers au PCA, afin de respecter les normes de sécurité et de conformité des processus dans toutes les situations.
- Dans le cadre d’un projet de PCA et pour vous accompagner dans la gestion des risque liés aux tiers, Trsutpair vous permet d’automatiser le contrôle de vos coordonnées bancaires fournisseurs et vous assure un audit en temps réel de votre base tiers. Si vous souhaitez intégrer des outils externes pour garantir la sécurité de vos process et protéger votre entreprise contre les fraudes, nos experts sont à votre écoute pour discuter de votre projet.
