Moins de texte, plus de flexibilité ; moins de réglementations, plus de pragmatisme - telle est la nouvelle version de l'ISO 22301 pour les systèmes de management de la continuité des activités (SGCA). Bien qu'elle n'apporte pas de changements bouleversants, la version révisée constitue tout de même une avancée significative. Découvrez ci-dessous les changements auxquels vous pouvez vous attendre dans la nouvelle version.
Depuis sa publication initiale en 2012, la ISO 22301 norme est devenue le point de référence international pour les systèmes de management de la continuité des activités. Selon l'étude annuelle de l'ISO, plus de 4 000 organisations sont déjà certifiées ISO 22301. Ce succès ne se limite pas à des secteurs spécifiques - chez DQS, nous avons certifié des banques, des usines chimiques, des fournisseurs de services informatiques et des fournisseurs de l'industrie automobile, entre autres.
Pour que cette évolution se poursuive, l'Organisation internationale de normalisation a décidé de réviser la norme pour honorer les conclusions de ses premières années d'utilisation. La révision a été publiée en novembre 2019.
La bonne nouvelle : Peu de changements
Tout d'abord, les entreprises qui sont déjà certifiées ISO 22301:2012 ne devraient pas avoir de problèmes pour se convertir à la nouvelle version. Si vous mettez les deux versions côte à côte, vous remarquerez immédiatement qu'il n'y a pas eu de changements structurels.
Comparée aux révisions des normes ISO 9001 et ISO 14001, qui ont été achevées en 2015, cette révision est plutôt modeste. Le principal changement dans les révisions des autres normes a été l'adoption de la structure dite de haut niveau, une structure uniforme pour toutes les normes de systèmes de management. Cependant, l'ISO 22301 a toujours eu cette structure : en 2012, elle a été parmi les premières normes à adopter la structure de haut niveau.
Les changements structurels n'étant donc pas nécessaires, l'organisme de normalisation a pu se concentrer sur l'amélioration de la clarté et de la lisibilité de la norme. De nombreux passages de texte redondants ont été supprimés, les termes sont utilisés de manière plus cohérente et la logique interne du texte a été renforcée.
Et encore mieux : Retour à l'essentiel
Ce qui rend la nouvelle version particulièrement intéressante, c'est le fait que certaines exigences ont été considérablement simplifiées. La section 4.1 en est un bon exemple : alors que la version 2012 était encore prescriptive quant à tout ce qui devait être déterminé et documenté pour comprendre le contexte de l'organisation, la nouvelle version souligne simplement la nécessité de prendre en compte les facteurs internes et externes. La manière d'y parvenir n'est plus précisée. La nécessité de documenter ce processus n'est également plus présente. Nous constatons quelque chose de similaire dans la section 7.4 - Communication : de grandes sections ont été supprimées.
Une autre clause qui a été allégée est 5.2 - Engagement de la direction. Comme auparavant, l'ISO 22301 exige un engagement clair de la part de la direction. Cependant, alors que la version 2012 exigeait encore que la direction générale "participe activement à la pratique et à la révision", la nouvelle version se limite à l'essentiel : Directives, Objectifs, Ressources, Examen de l'efficacité et Amélioration continue.
Autres changements
En dehors d'un certain nombre d'ajustements mineurs dont la signification pour les sites certifiés est mineure en pratique, les changements suivants sont à noter :
- Il n'y a pratiquement pas de nouvelles exigences dans la version révisée. Une exception est la section 6.3, où les organisations sont tenues d'apporter des modifications au BCMS "de manière planifiée". Cette exigence n'était pas explicite dans la version précédente, mais elle n'est pas surprenante en soi.
- La section 8.2.2 - Analyse de l'impact sur les activités (BIA) exige que l'analyse prenne les" catégories d'impact " comme point de départ.
- La section 8.3, anciennement intitulée "Stratégie de continuité des activités", s'intitule désormais "Stratégies et solutions de continuité des activités". Ce changement de titre reflète le pragmatisme accru de la norme : plus qu'une grande stratégie, ce sont les solutions spécifiques à des risques et impacts spécifiques qui sont importantes.
- Le terme " appétit pour le risque" n'apparaît plus dans la nouvelle norme. Ce terme était défini dans la version 2012 comme "la taille et le type de risque qu'une organisation est prête à prendre ou à maintenir." La norme déplace l'accent de l'appétit pour le risque vers l'impact : Quel impact est acceptable ?
Révision du guide ISO 22313
Le fait que la nouvelle norme semble plus légère est également dû au fait que les exigences ont été clairement séparées du guide. Les exigences sont décrites dans l'ISO 22301 ; la manière de les satisfaire est expliquée dans l'ISO 22313. Le document d'orientation ISO 22313, qui date de 2012 tout comme la norme, est également en cours de révision.
Calendrier et transition
Il y a une période de transition de 3 ans à partir du 31 octobre 2019, et les certificats délivrés selon la norme ISO 22301:2012 seront valables jusqu'au 31 octobre 2022 au plus tard, ou devront être retirés à cette date.
Newsletter DQS
Dr. Thijs Willaert
Thijs Willaert est directeur Monde des prestations liées au Développement Durable. A ce titre, il est responsable de l'ensemble du portefeuille de prestations ESG de DQS. Ses centres d'intérêt comprennent les achats durables, la diligence en matière de droits de l'homme et les audits ESG.