Plan de continuité des affaires

Question 10:

Pourquoi le plan de continuité d'activité (PCA) constitue-t-il un élément essentiel de la gestion des risques ?

De par la nature même des métiers de la banque , celle ci se voit confronté sans cesse à des risques multiples. La prise de conscience de ces risques ainsi que leur évolution dans le temps ont amené l'introduction de "plan de continuité d'activité". Le règlement 2004 -02 permettra donc de faire face à des difficultés de nature diverses (économiques, politiques, naturelles..). L'objectif étant le maintien des prestations de service de l'établissement puis la reprise normale de l'activité.

Toutefois, le taux de bancarisation mais également la désintermédiation, accroissent de facto les risques. Le PCA revêt de ce fait un caractère aussi bien déontologique qu'obligatoire.

En effet, face à une événement imprévu , c'est la capacité à vite réagir de manière efficace qui permettra de sauvegarder l'activité de l'entreprise et ses intérêts, et de ce fait reprendre une activité normale comme si rien ne s'était passé.

Nous reviendrons sur la définition même du PCA et sa mise en place pour ensuite déterminer le type de risque qu'il permet de couvrir.

1) LE PCA ET SA MISE EN PLACE

Selon l'article 4 du règlement du CRBF (comité de la réglementation bancaire et financière), le plan de continuité de l'activité est, pour les établissements financiers, un ensemble de mesure visant à assurer selon divers scenarios de crises, y compris face à des chocs extrêmes, le maintien le cas échéant de façon temporaire selon un mode dégradé , des prestations de service essentielles de l'entreprise puis la reprise planifiée des activités.

Ainsi, depuis 1997, les documents visant à assurer la continuité de l'activité dans les banques et dans les établissement financiers n'ont cessé de s'étoffer.

Les événements du 11 septembre 2001 ont entrainé en 2004 la mise en place d'un règlement demandant aux établissement de crédit de prévoir des PCA en cas de survenance d'événement graves concernant les principaux aspects de leurs activités et pas seulement des systèmes informatiques

Il est donc nécessaire de prévoir toutes sortes de scenarios catastrophes qui peuvent affecter l'activité , et qui vont de l'attaque informatique qui endommage les logiciels et les fichiers, à la catastrophe naturelle type inondation.

Pour qu'un PCA soit efficace l'entreprise se doit de constituer une équipe dont l'unique fonction est de contrôler afin de faire face au mieux aux risques.

Le règlement 02 - 97 prévoit l'obligation pour les établissement de se doter d'un dispositif de contrôle interne adapté à leurs activités et leurs risques ainsi qu'à leur taille.

les unités chargées de cette mission imposée de contrôle interne doivent être indépendantes et dotées de moyens suffisants et adaptés , prenant en compte les nécessités de la consolidation.

Le contrôle à exercer est prévu à un double niveau: les opérations elles mêmes et les procédures qui permettent de les traiter en toute conformité.

le règlement 97/2 prévoit en outre que les entreprises qui sont assujetties doivent dresser un rapport annuel comptant 2 volets :

*les conditions dans lesquelles le contrôle interne est assuré

*la mesure et la surveillance des risques auxquels elles sont exposées (origine humaine, naturelle, menace interne ou externe à l'entreprise) et leurs impacts.

Les principaux composants d'un PCA sont :

* plan de secours informatique

* plan de gestion de crise

* plan de reprise d'activité

*

...