2.5. Disposer d'autres instruments d'atténuation
du risque opérationnel :
Il n'est pas possible de maîtriser tous les risques (par
exemple, les catastrophes naturelles). On peut en revanche utiliser des
instruments ou programmes d'atténuation des risques pour réduire
l'exposition à ces risques, leur fréquence et/ou leur
gravité.
L'externalisation de certaines activités peut
réduire le profil de risque d'un établissement en
transférant certaines activités spécialisées
à des entreprises qui ont plus d'expertise et d'envergure pour
gérer les risques qui y sont associés.
Les polices d'assurance, notamment, surtout si elles
garantissent un paiement rapide et certain, peuvent être utilisées
pour externaliser le risque de pertes peu fréquentes mais aux
conséquences graves, qui peuvent résulter de divers
événements comme l'indemnisation de tiers au titre d'erreurs et
omissions, la perte physique de titres, la fraude d'un employé ou d'un
tiers.
Les investissements dans les techniques appropriées de
traitement des données et de sécurité informatique jouent
aussi un rôle important pour l'atténuation du risque.
2.6. Mise en place des plans de secours et de
continuité d'exploitation
Pour des raisons qui peuvent échapper au contrôle
de l'IMF, un incident grave peut l'empêcher d'exécuter
entièrement ou partiellement ses obligations, en particulier quand ses
infrastructures physiques, de télécommunications ou
d'informatique ont été endommagées ou rendues
inaccessibles. Cette situation peut à son tour provoquer de lourdes
pertes financières pour la structure, ainsi que des perturbations
générales du système entrainant du coup
l'impossibilité d'accéder aux données financières
lors d'un retrait de fonds d'un client par exemple. Cette
éventualité nécessite que la structure mette en place un
programme de reprise et de continuité d'exploitation, en rapport avec sa
taille et avec la complexité de ses activités, prenant en compte
divers types de scénarios plausibles auxquels elle peut être
exposée.
Les organisations devraient identifier les processus cruciaux,
notamment ceux qui dépendent de fournisseurs extérieurs ou
d'autres tiers, dont la reprise rapide est prioritaire. Pour ces processus, les
IMF devraient identifier des solutions de secours permettant de rétablir
le service en cas de panne. Il convient de prêter une attention
particulière à la capacité de restaurer les archives
électroniques ou physiques nécessaires à la reprise de
l'activité. Quand les archives sont dupliquées sur un autre site,
ou quand les activités de l'IMF devraient reprendre dans d'autres
locaux, il faudrait veiller à ce que ces facilités de secours
soient suffisamment éloignées du site principal pour
réduire le risque d'une mise hors service simultanée. Les IMF
devraient revoir périodiquement leurs programmes de reprise et de
continuité d'exploitation pour s'assurer qu'ils restent adaptés
au niveau de leurs activités et stratégies (tests
périodiques).
| 
