– Les établissements assujettis mettent en œuvre pour le contrôle interne du risque informatique :
– au titre du contrôle permanent :
-un premier échelon constitué des personnes appartenant aux services opérationnels chargés des différents travaux informatiques et de sécurité des systèmes d’information, ainsi que du contrôle hiérarchique de ces activités ;
-un deuxième échelon assuré par la ou les fonctions de contrôle interne des opérations proprement dit, de la conformité et de la gestion des risques. Celle-ci doit disposer d’une expertise et de ressources suffisantes pour contrôler les sujets de risque informatique ;
– au titre du contrôle périodique : la fonction d’audit interne doit être capable d’intervenir sur les sujets de risque informatique. Elle doit disposer d’équipes suffisamment dimensionnées et compétentes sur le sujet et doit inclure le risque informatique dans ses revues.
Pour les établissements assujettis appartenant à un groupe bancaire ou à un réseau d’établissements de microfinance de première catégorie, les activités relatives au contrôle interne des opérations, au contrôle de la conformité et à la gestion des risques peuvent être réalisées par la maison mère ou une autre entité du groupe ou l’organe faîtier du réseau, après accord du Secrétaire Général de la COBAC
