Embed Size (px)
Citation preview
General Secretariat of the French banking Commission
Secrétariat général de la Commission bancaire
Business Continuity Working Group of the Joint Forum
Groupe de travail sur la continuité des activités du Forum Tripartite
[email protected] Responsable de la prévention des risques SGCBMembre du groupe de travail
1) Présentation des travaux du groupe et du document bilingue donnant 7 principes directeurs
2) Une considération sur la complétude de l’approcheet les analyses de risques
3) Un exemple dans la vie quotidienne :Le cas de l’employé grippé
THE JOINT FORUM BASEL COMMITTEE ON BANKING SUPERVISION
INTERNATIONAL ORGANIZATION OF SECURITIES COMMISSIONSINTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS
LE FORUM TRIPARTITE COMITÉ DE BÂLE SUR LE CONTROLE BANCAIRE
ORGANISATION INTERNATIONALE DES COMMISSIONS DE VALEURSASSOCIATION INTERNATIONALE DES SUPERVISEURS EN ASSURANCE
L’ordre de mission du Forum de Stabilité Financière (novembre 2004)
“….. The FSF Chair asked standard setting bodies or the Joint Forum to review approaches to business continuity across countries in their respective areas and consider whether there might be scope for setting out high level guiding principles.”
Le contexte de réflexion :
Directed at both Financial Industry Participants and Financial Authorities Deux audiences cibles High level & non-prescriptive De haut niveau (directeurs) non prescriptifs Whole-of-business approach Approche globaleProportionate and risk-based Proportionnée et fondée sur les risques Builds on traditional concepts of Business Continuity Management (BCM) Construits sur les concepts connusReflects today’s risk environment and interdependencies of the financial system Prenant en compte l’environnement et les interdépendances actuelles des systèmes financiersEmphasises cross-border Communications Mettant en exergue les communications internationales
Le résultat :
Un glossaire
Sept principes Dont six partagés par l’industrie et les autorités
Cinq études de cas :Northeast Canada & USA Power Outage Panne électrique nord-américaine
Hong Kong SARS Épidémie SRAS à Hong KONG Toronto SARS Épidémie SRAS à Toronto Niigata Chuetsu Earthquake Tremblement de terre au Japon 7 July, 2005 London Bombings Attentats à la Bombe Londres 7/7/5
Lessons learned linked back to PrinciplesAvec des liens entre les “leçons apprises” et les principes mis en oeuvre
Chronologie des travaux :
• Accord sur le champ de l’étude en février 2005• Association du CPSS, superviseur des systèmes• Principes approuvés par le Forum tripartite en novembre 2005• Document mis en consultation le 20 décembre 2005• Période de consultation de 3 mois -> fin mars 2006 • Immédiatement un cadre de référence pour des institutions internationales (FMI) et des régulateurs nationaux (analogie des exemples SRAS avec la pandémie aviaire)• 25 réponses reçues, analysées et commentées • Document enrichi approuvé par le Forum tripartite en juin 2006• Transmis aux trois institutions parentes pour approbation -> mi-août 2006• Communiqué de presse et publication sur les trois sites le 29 août
Mise en ligne d’une version bilingue sur le site de la Banque de France/Commission bancaire le 30 aoûtInformation simultanée par message avec lien de tous les établissements supervisés par le SGCB
Le groupe de travail élargi s’est transformé en un forum d’échange d’informations sur le question de la pandémie de grippe aviaire
Promotion et mise en oeuvre des principes en cours.
Principle 1: Board and senior management responsibilityPrincipe 1 : Responsabilités de l’Organe délibérant et de la Direction générale
Financial industry participants and financial authorities should have effective and comprehensive approaches to business continuity management. An organisation’s board of directors and senior management are collectively responsible for the organisation’s business continuity.
Les acteurs de l’industrie financière et les autorités financières se doivent d’avoir des approches efficaces et complètes de la gestion de la continuité d’activité. L’Organe délibérant d'une organisation et sa Direction générale sont collectivement responsables de la continuité d’activité de l'organisation.
Commentaire :
L’accent est mis sur la responsabilité ultime, au plus haut niveau de l’organisation, d’une gestion efficace de la continuité (cf. état de l’art) ; les propositions viennent des lignes de métiers, les arbitrage et les prises de responsabilité sont au niveau supérieur
Principle 2: Major operational disruptionsPrincipe 2 : Perturbations opérationnelles majeures
Financial industry participants and financial authorities should incorporate the risk of a major operational disruption into their approaches to business continuity management. Financial authorities’ business continuity management also should address how they will respond to a major operational disruption that affects the operation of the financial industry participants or financial system for which they are responsible.
Les acteurs de l’industrie financière et les autorités financières devraient incorporer le risque d'une perturbation opérationnelle majeure dans leurs approches de la gestion de la continuité d’activité. La gestion de la continuité d’activité des autorités financières devrait aussi englober la manière de répondre à une perturbation opérationnelle majeure qui affecte les opérations des acteurs de l’industrie financière ou le système financier dont elles sont responsables.
Commentaire :
Un crescendo dans la qualité de la continuité, qui doit à présent, vue la fréquence des événements extrêmes, être adaptée à ceux-ci (chocs extrêmes selon CRBF 97/02 complété 2004/02 ; perturbation opérationnelle majeure dans le document).
Principle 3: Recovery objectivesPrincipe 3 : Objectifs de reprise
Financial industry participants should develop recovery objectives that reflect the risk they represent to the operation of the financial system. As appropriate, such recovery objectives may be established in consultation with, or by, the relevant financial authorities.
Les acteurs de l’industrie financière devraient développer les objectifs de reprise qui reflètent le risque que ces acteurs représentent pour le fonctionnement du système financier. Si nécessaire, de tels objectifs de reprise peuvent être établis en concertation avec, ou par, les autorités financières appropriées.
Commentaires :
Explicitation de la proportionnalité entre les risques que l’on fait courir et les objectifs de reprise, donc de la qualité de la continuité.
Les services critiques doivent être exemplaires, avoir des exigences supérieures aux autres participants du système financier.
Principle 4: CommunicationsPrincipe 4 : Communications
Financial industry participants and financial authorities should include in their business continuity plans procedures for communicating within their organisations and with relevant external parties in the event of a major operational disruption.
Les acteurs de l’industrie financière et les autorités financières devraient inclure dans leurs plans de continuité d’activité les procédures de communication au sein de leur organisation et avec des parties externes concernées en cas de perturbation opérationnelle majeure.
Commentaires :
La communication de crise, composante essentielle de la gestion de la continuité, traite de toutes les relations utiles, internes externes.
Le principe insiste spécialement sur une communication régulière et claire pendant une perturbation majeure pour gérer la crise et maintenir la confiance publique dans le système financier.
Principle 5: Cross-border communicationsPrincipe 5 : Communications internationales
Financial industry participants’ and financial authorities’ communication procedures should address communications with financial authorities in other jurisdictions in the event of major operational disruptions with cross-border implications.
Les procédures de communication des acteurs de l’industrie financière et des autorités financières devraient inclure les communications à établir avec des autorités financières dans d'autres juridictions en cas de perturbations opérationnelles majeures avec des implications internationales.
Commentaires :
Le principe met en exergue les interdépendances profondes qui existent entre les systèmes financiers à travers les frontières géographiques ou juridictionnelles.
Et donc, le principe demande à ce que les protocoles de communication prennent en compte les relations internationales.
Principle 6: TestingPrincipe 6 : Tests
Financial industry participants and financial authorities should test their business continuity plans, evaluate their effectiveness, and update their business continuity management, as appropriate.
Les acteurs de l’industrie financière et les autorités financières devraient, de manière appropriée, tester leurs plans de continuité d’activité, évaluer leur efficacité et mettre à jour leur gestion de la continuité d’activité.
Commentaires :
Des tests ou exercices, pour détecter des manques et les combler.
Le maintien en condition opérationnelle demande un suivi des évolutions de toutes natures.
Principle 7: Business continuity management reviews by financial authoritiesPrincipe 7 : Vérification de la gestion de continuité d’activité par les autorités financières
Financial authorities should incorporate business continuity management reviews into their frameworks for the ongoing assessment of the financial industry participants for which they are responsible.
Les autorités financières devraient incorporer des vérifications de la gestion de continuité d’activité dans leurs programmes de contrôle courant des acteurs de l’industrie financière dont elles sont responsables.
Commentaire :
Le contrôle de la mise en place de mesures de continuité doit juger de l’adéquation de ces mesures à l’activité sous l’angle des risques subis ou générés (cf. principe n°3).
Un schéma pour résumer A diagram to summarize
Industrie financière
Autorités financières
Industry
AuthoritiesP6Test et MCO
P7 Contrôle externe
P4Une communication de crise anticipée
P5Portant au delà des frontières G J
P7
Principe 1 Responsabilité d’une bonne gestion de continuité au plus haut niveauPrincipe 2 Une gestion de la continuité qui prend en
compte des perturbations opérationnelles majeures
P1
PCA
P2
Pour chocs extrêmes
Principe 3 Des objectifs de reprise en relation avec les risques que l’on fait courir
P3
Adapté aux risques crées
Frontière Border
P6Test et MCO
2me partie
À propos de la complétude de notre approcheA comprehensive approach
L’étendue The scope
Un champ d’application très large : les secteurs financiers des 3 institutions parentes du Forum tripartite,et leurs relations avec les « fournisseurs », infrastructures et services de secours
Broadly applicable : Joint Forum's 3 parent organisations' financial sectorsAnd their relationships with the utilities, infrastructures and emergency response services
La profondeur In depth analysis
La situation présente The current situation
Qu’est qu’une analyse de risques ?What is a risk analysis ?
Trouver les dangers, les menaces et s’en protégerFind the hazards, the threats and how to protect oneself
L’égoiste attitude A self centered focus
« Charité bien ordonnée commence par soi-même »« Charity begins at home »
Les externalités The externalities
L’apport de notre approche : dans le principe n°3Les risques « exportés » vers le système financier.The contribution of our approach: in Principle # 3The risks “spun out” to the financial system.
Aujourd’hui : aucune prise en compte des risques exportés ?Si, par l’ « effet boomerang » par exemple via une augmentation des risques juridiques ou de réputation.
Today: No consideration of the spun out risks?Indeed, when it flies back to hurt us, for example legal and reputational risks could increase.
Incident et dommageIncident and damage
Qui dispose d’un suivi, d’une cartographie des risques qu’il exporte ?L’attitude altruiste
Who is tracking/mapping spun out risks?The altruistic attitude
Boucler la boucle = complétude du systèmeL’étape suivante après le principe n°3 :
« La réconciliation des risques »Une même appréciation des risques échangés, les risk managers dans le même esprit et aussi précis que les comptables
Close the circle = comprehensiveness of the systemThe next step after Principle # 3:
" Reconciliation of risks « Risks are understood and addressed by two parties in a similar manner, risk managers to be of similar minds and as precise as the accountants
An useful level of risk analysis : … > bilateral reconciliations
Systemic risk analysis
Un schéma pour résumer A diagram to summarize
B I S supervisors = Joint Forum
Scope
D
ep
t
h
Financial Industry
Banks Insurance Securities
Utilities Suppliers
…. Individual and self centered risk analysis
Central banks overseeing financial systems
Public Authority overseeing economy (utilities, suppliers…)
Financial system
3me partie
Un exemple de la vie quotidienneLe cas de l’employé grippé
• Le point de vue de l’employé :– se croit indispensable, résistant, veut être exemplaire ...
• Un point de vue subjectif de responsable– Il fait son devoir jusqu’au sacrifice, c’est une attitude méritoire…
• Une analyse objective d’impact (P1 P3)– Contagion bureau, restaurant, transport …
– Productivité réduite
– Période de faible productivité allongée
– Effet boomerang : plainte de collègues, mauvaise image de l’entreprise
Un exemple de la vie quotidienneLe cas de l’employé grippé (suite)
• Réconciliation des risques :– Alignement sur la position du responsable (P1)
• Prise en compte de la contingence, aléa de la maladie
– Plan de continuité, travail en mode dégradé (P1)
– Prévention de type recommandations face à la grippe aviaire • Transport individuel ou déplacement en horaires décalés ; distances ;
masque ; médecine préventive
– Á la confirmation (P7) :• Prévention pour les collègues (P4 et P5)• Application du plan de suppléance (succession, substitution …)
Un exemple de la vie quotidienneLe cas de l’employé grippé (fin)
• Tableau de suppléance :
• Contacts en mode dégradé (P1 et P4) : – Appel téléphonique exceptionnel– 2 consultations de mèl par jour
Tâche Échéance Enjeu Suppléant Niveau OK
Contrat SNCF
J+3 5 M€ M. Dupont 100 %
Alter ego (P6)
OK
Contrat
RATP
J+2 25 M€ Sans (P2) KO
Prospect
US-Rail
J+20 ? M. Durant 30%
Assez ’info.(P6)
OK
…
En marge des principes, 3 messages à approfondir
La forme bilingue et bicolore
Les idées en relief
La réconciliation des analyses de risques
Le juste nécessaire
Aspect RH des PCA, la suppléanceJouons collectif !
General Secretariat of the French banking Commission
Secrétariat général de la Commission bancaire
Merci de votre attentionet n’oubliez pas de consulter :
Thank you for listening
And don’t forget to see :
www.banque-france.fr/fr/supervi/supervi_banc/travinter/pca.htm
