Les établissements assujettis doivent mettre en œuvre pour chaque risque un système d’identification, d’analyse, de mesure, de surveillance, d’atténuation ou de maîtrise, ainsi que de contrôle des risques comprenant notamment :
– la cartographie des risques qui identifie et évalue l’ensemble des risques encourus au regard de facteurs internes (notamment la complexité de l’organisation, la nature des activités, le professionnalisme des personnels et la qualité des systèmes) et externes (notamment les conditions économiques et les évolutions réglementaires);
– la définition de la politique de l’établissement au regard de chaque risque, formulée par l’organe exécutif et approuvé par l’organe délibérant ;
– l’organisation des activités générant ce risque, avec les procédures relatives aux limites spécifiques ;
– les conditions opérationnelles de gestion des activités générant ce risque ;
– les procédures de mesure du risque ;
– les procédures de surveillance du risque ;
– les procédures de contrôle permanent et périodique du risque ;
– les procédures d’atténuation ou de maîtrise du risque ;
– l’information sur le risque fournie aux organes délibérant et exécutif et au Secrétariat Général de la Commission Bancaire.
