5.1.5 Les outils de gestion des incidents
Les informations utiles pour le risque opérationnel
sont pour l'essentiel disponibles dans les outils existant en production. Il
faut donc étudier la possibilité d'une alimentation d'IDB la plus
automatisée possible afin de limiter les saisies. Placée sous la
juridiction forte, la base d'informations sera filtrée par les analyses
RO afin d'éliminer des incidents sans conséquences, les doublons
(incident a la fois métier et informatique ou saisi plusieurs fois), de
rajouter des impacts financiers, de repérer les incidents
récurrent. Ils définissent les valeurs des rubriques
évènements et cause éligibles au risque
opérationnel, sachant que le travail porte surtout sur les causes.
Le système d'alerte mentionne le
numéro d'incident, l'origine et le destinataire avec une fonction de
pilotage, de coordination et d'évaluation de l'incident : date, heure de
début, description, sites, date et heure de fin, observations,
numéro d'incident, résolution, gravité, cause,
état. Les incidents très graves sont coloriés en rouge.
Les tableaux de bord mensuels sont
établis en accord avec les métiers. On va des indicateurs qui
sont le nombre d'incidents par état (ouvert, réglé, clos,
information), par cause
(inconnue, application, matériel, opération,
réseau, système) par gravité et par affection de
responsabilité. Les incidents importants de production sont
diffusés chaque matin aux collaborateurs habiletés.
Les outils de pilotage et de surveillance sont
aussi des éléments de maitrise des risques opérationnels
:
- Outil pour suivre les incidents (alimentation tickets
automatique) - Suivi des incidents majeurs des métiers (alimentation
manuelle) - Outil de workflow permettant de gérer les demandes diverses
(alimentations manuelles)
- Outil de help desk
- Outil de suivi des incidents et de gestion des
problèmes
5.1.6. Les acteurs de processus : Ils sont de deux
sortes :
Les initiateurs : pilote de la production, gestionnaire de
pilotage métier, gestionnaire de pilotage de flux, gestionnaire de
pilotage. Ces personnes sont habilitées pour initier le ticket
d'incident et le suivre jusqu'à la clôture de l'incident. Ils
rattachent les incidents informatiques aux processus métier.
Les réparateurs : la production, la mise en oeuvre, pour
les études, les chefs de projets, les analystes et les agents
techniques.
Il faut identifier les KRIs suivis dans les tableaux de bord, en
étudiant les regroupements d'incidents par cause et selon la
récurrence.
Au minimum, tous les évènements remarquables et
incidents transférés à la gestion des problèmes
sont éligibles. Entre 15 et 20 % des incidents passent en mode gestion
des problèmes. Pour les autres, il convient de déterminer les
critères d'extraction sur les incidents à partir des outils
existants en production en ne retenant que ceux qui sont éligibles au
risque opérationnel. Il faut s'assurer de la traçabilité
entre la base des incidents et la base de problèmes, afin de pouvoir
rapprocher automatiquement lors des analyses de risques tous les incidents qui
se rapportent à une cause.
Ces évènements seront rangés dans la
classification des évènements et des causes avérés
incidents. Cette classification doit s'intégrer dans celle des types
d'évènements de niveau 3 de Bale II adaptée a la
cartographie des processus de la DI, qui fait le lien avec les incidents saisis
dans la base IDB. Le vocabulaire utilisé dans les définitions de
rubriques doit être le même. Un
travail d'harmonisation est à faire. Ceci permettra aux
métiers d'utiliser ce vocabulaire lors de la saisie de leurs propres
incidents métiers ou informatiques.
Il faut définir les règles de quantification des
impacts et de l'alimentation de la base IDB à partir des impacts
évalués par les métiers et le rattachement des
évènements informatiques aux évènements
métiers.
Il est rare qu'une analyse d'incident avéré en
cas d'escalade ou de passage en mode problème soit totalement
tracée en faisant l'objet d'un reporting. L'analyse du risque
opérationnel doit avoir tous les éléments permettant
d'agir sur la cause de façon à réduire le risque.
Il faut souligner les rôles importants du gestionnaire
de pilotage métier qui assure le support informatique aux métiers
en documentant les incidents et les problèmes et celui du gestionnaire
de pilotage technique qui suit l'incident jusqu'à sa clôture.
Ce dispositif étant mis en oeuvre, l'analyse du risque
opérationnel peut exploiter toutes les informations utiles contenues
dans les reportings d'incidents pour déterminer les actions correctives
et préventives et pour saisir les incidents dans la base IDB.
Pour les métiers dont la DI assure la production
informatique, des évaluations d'impacts types sont à
définir avec des exemples de forfaits applicables sur des incidents
informatiques répétitifs.
Avec les « business impact report », les reportings
d'évènements-causes-diagnostics et la classification
détaillée des évènements métiers et des
évènements informatiques, les responsables des métiers
disposent des informations pertinentes pour connaitre et chiffrer tous les
risques et agir sur les causes.
L'organisation existant en production prévoit des
acteurs et des circuits de validation dans lesquels il faut introduire les
profils risques opérationnels (analystes, correspondants) afin
d'éviter les circuits parallèles. Des aménagements sont
à prévoir dans l'organisation du dispositif de saisie des
incidents par les métiers, notamment pour les circuits à suivre
en fonction des incidents. Il faut introduire les profils de risque
opérationnel (analystes, correspondants) dans les circuits de diffusion
des informations afin qu'ils puissent faire le rapprochement entre les
incidents métiers et le incidents informatique et entre un incident
global (serveurs télécommunication, virus) et toutes ses
conséquences locales au niveau des métiers (réel
perçu).
Il faut prévoir une bonne administration de la base IDB
capable de gérer les relations avec les métiers et les fonctions
de façon multilatérale en rapprochant la déclaration de
l'incident au niveau global (cause analysée) et les d
déclarations au niveau local des métiers (réel
perçu).
|