Les établissements assujettis doivent identifier et évaluer le risque opérationnel inhérent à tous les produits, activités, processus et systèmes importants. A cet effet, ils sont tenus :
– de soumettre à une procédure adéquate d’évaluation le risque opérationnel qui leur est inhérent avant de lancer ou d’exploiter des produits, activités, processus et systèmes nouveaux;
– de mettre en œuvre un processus de suivi régulier des profils de risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion dynamique du risque opérationnel doivent être régulièrement communiquées à l’organe exécutif et à l’organe délibérant ;
– d’adopter des politiques, processus et procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel ;
– de réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétence pour le risque et de leur profil de risque globaux ;
– de prévoir, dans leurs plans de secours et de continuité d’activité exigés par,le règlement COBAC R-2008/01 sus visé, des mesures appropriées pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l’activité ;
– de communiquer de façon adéquate pour permettre de se faire une opinion éclairée sur la solidité de son dispositif de gestion du risque opérationnel
