High-level principles for business continuity Principes directeurs en

THE JOINT FORUM
BASEL CO MMI TTEE O N BANKI NG SUPERVI SI ON
I NTERNATI O NAL O RG ANI ZATIO N O F SECURI TIES CO MMI SSI O NS
I NTERNATI O NAL ASSO CI ATI O N O F I NSURANCE SUPERVI SO RS
C/O BAN K FOR INT ERN AT IONA L SET T LE MENT S
CH-4002 B AS EL, SW IT ZERLA ND
LE FORUM TRIPARTITE
CO MI TÉ DE BÂL E SUR L E CO NTRO L E BANCAI RE
O RG ANI SATIO N I NTERNATI O NAL E DES CO MMISSI O NS DE VAL EURS
ASSO CI ATI O N I NTERNATI O NAL E DES SUPERVI SEURS EN ASSU RANCE
C/O BANQ UE DES RÉ GL E MENT S INT ER NAT ION AU X
CH-4002 B ÂLE, SU IS SE
High-level principles for
business continuity
Principes directeurs en matière de
continuité d’activité
August 2006
Bilingual and bicoloured version
at
Traduction S G
al
Version bilingue et bicolore
de la Commission Bancaire
1/75
Août 2006
2
Table of contents
Table des matières
Glossary ................................................................................................................................ 5
Glossaire ............................................................................................................................... 5
Background and context ...................................................................................................... 13
Précédents et contexte ........................................................................................................ 13
Effective business continuity management .......................................................................... 17
Gestion efficace de la continuité des activités ...................................................................... 17
The benefits of high-level principles ..................................................................................... 19
Intérêt de disposer de principes de haut niveau ................................................................... 19
Target audiences ................................................................................................................. 21
Audiences cibles.................................................................................................................. 21
Financial industry participants..................................................................................... 22
Les acteurs de l’industrie financière ............................................................................ 22
Financial authorities.................................................................................................... 23
Les autorités financières ............................................................................................. 23
High-level principles for business continuity......................................................................... 25
Principes directeurs en matière de continuité des activités .................................................. 25
Principle 1: Board and senior management responsibility .......................................... 27
Principe 1 : Responsabilités de l’Organe délibérant et de la Direction générale........ 27
Principle 2: Major operational disruptions.................................................................... 29
Principe 2 : Perturbations opérationnelles majeures ................................................... 29
Principle 3: Recovery objectives ................................................................................. 32
Principe 3 : Objectifs de reprise .................................................................................. 32
Principle 4: Communications....................................................................................... 34
Principe 4 : Communications ...................................................................................... 34
Principle 5: Cross-border communications.................................................................. 37
Principe 5 : Communications internationales .............................................................. 37
Principle 6 : Testing .................................................................................................... 39
Principe 6 : Tests ........................................................................................................ 39
Principle 7: Business continuity management reviews by financial authorities............. 40
Principe 7 : Vérification de la gestion de continuité d’activité par les autoritésfinancières40
3/75
Annex I- Case Study: US-Canadian electrical power grid outages in August 2003............... 42
Annexe I- Étude de cas : coupures des réseaux d’alimentation en énergie électrique
Américains-Canadiens en août 2003 .......................................................................... 42
Annex II - Case study: The impact of the 2003 SRAS outbreak on Hong Kong SAR’s
securities markets....................................................................................................... 49
Annexe II - Étude de cas : l'impact de l'alerte au SRAS 2003 sur le marché des valeurs de
Hong-Kong SAR ......................................................................................................... 49
Annex III - Case Study: The impact of the 2003 SRAS outbreak on the Canadian securities
industry ....................................................................................................................... 57
Annexe III - Étude de cas : l'impact de l'alerte au SRAS 2003 sur l'industrie de valeurs
canadienne ................................................................................................................. 57
Annex IV - Case study: Niigata Chuetsu earthquake............................................................ 62
Annexe IV- Étude de cas : Le tremblement de terre de Niigata Chuetsu.............................. 62
Annex V - Case Study: The London terrorist attacks on 7 July 2005.................................... 67
Annexe V - Etude de cas : Les attaques terroristes à Londres du 7 juillet 2005 ................... 67
Annex VI - Bibliography........................................................................................................ 73
Annexe VI - Bibliographie..................................................................................................... 73
Annex VII - Members of the Joint Forum Business Continuity Working Group ..................... 75
Annexe VII - Les membres du Groupe de travail Continuité d’activité du Forum Tripartite ... 75
4
Glossary
Glossaire
Alternate site
A site held in readiness for use during a business continuity event to
maintain an organisation’s business continuity. The term applies
equally to work space or technology requirements. Organisations
may have more than one alternate site. In some cases, an alternate
site may involve facilities that are used for normal day-to-day
operations but which are able to accommodate additional business
functions when a primary location becomes inoperable. Examples of
alternate sites include relocation and disaster recovery sites, whether
managed directly or maintained by a third party for an organisation’s
exclusive use or for use by multiple organisations.
Site alternatif
Un site tenu prêt pour utilisation pendant un événement menaçant la
continuité d'activité pour maintenir la continuité d'activité d'une
organisation. Le terme s'applique également aux besoins d’espaces
de travail et de technologies. Les organisations peuvent avoir plus
d'un site alternatif. Dans quelques cas, un site alternatif peut
contenir les équipements qui sont utilisés pour des opérations
quotidiennes normales, mais qui sont capables d’accueillir des
activités supplémentaires lorsque le site primaire devient inopérable.
Les exemples de sites alternatifs incluent les relocalisations et les
sites de reprise après désastre, qu’ils soient gérés directement ou
maintenus par un tiers, pour l'utilisation exclusive d'une organisation
ou pour l'utilisation de plusieurs organisations.
Business continuity
A state of continued, uninterrupted operation of a business.
Continuité d’activité
Un état d’activité où les opérations sont continues, ininterrompues.
Business continuity
management
A whole-of-business approach that includes policies, standards, and
procedures for ensuring that specified operations can be maintained
or recovered in a timely fashion in the event of a disruption. Its
purpose is to minimise the operational, financial, legal, reputational
and other material consequences arising from a disruption.
Gestion de la continuité
d’activité
Une approche globale qui comprend la politique, les règles et les
procédures pour garantir le maintien ou la reprise des opérations
spécifiées d'une façon planifiée en cas de perturbation. Son but est
de réduire au minimum les conséquences opérationnelles,
financières, légales, de réputation et autres conséquences
substantielles résultant d'une perturbation.
5/75
Business continuity plan
A component of business continuity management. A business
continuity plan is a comprehensive written plan of action that sets out
the procedures and systems necessary to continue or restore the
operation of an organisation in the event of a disruption.
Plan de continuité d’activité
Un composant de la gestion de la continuité d'activité. Un plan de
continuité d’activité est un plan d'action écrit, complet, qui expose les
procédures et les systèmes nécessaires pour poursuivre ou rétablir
les opérations d'une organisation en cas de perturbation.
Business impact analysis
A component of business continuity management. Business impact
analysis is the process of identifying and measuring (quantitatively
and qualitatively) the business impact or loss of business processes
in the event of a disruption. It is used to identify recovery priorities,
recovery resource requirements, and essential staff and to help
shape a business continuity plan.
Analyse d’impact sur
l’activité
Une composante de la gestion de la continuité d'activité. L'analyse
d'impact sur l’activité est le processus qui consiste à identifier et
mesurer (quantitativement et qualitativement) l'impact sur l’activité ou
les pertes dans les processus métiers en cas de perturbation. Elle est
utilisée pour identifier les priorités de reprise, les besoins en
ressources pour la reprise, le personnel essentiel et pour aider à
formuler un plan de continuité d'activité.
Communication protocols
Established procedures for communicating that are agreed in
advance between two or more parties internal or external to an
organisation. Such procedures typically include the methodology for
transmitting, writing, and reading of data (eg e-mails and intranet for
employees, teleconferences or meetings with identified internal or
external parties, and press releases, website postings, or news
conferences for the public or other external stakeholders). Such
procedures also typically include the nature of information that should
be shared with various internal and external parties and how certain
types of information should be treated (eg public or non-public),
Protocoles de
communication
Procédures de communications établies, qui sont approuvées à
l'avance par plusieurs parties internes ou externes à une
organisation. De telles procédures incluent habituellement la
méthodologie pour la transmission, l'écriture et la lecture de données
(ex : courriers électroniques et intranet pour des employés,
téléconférences ou réunions avec des parties internes ou externes
identifiées, communiqués de presse, mises en ligne sur site Web,
conférences de presse pour le public ou d'autres partenaires
externes). De telles procédures incluent aussi habituellement la
nature des informations qui devront être partagées avec les diverses
parties internes et externes et comment certains types d'informations
devront être traités (ex : information publique ou non publique).
6
Critical market participants
Participants in financial markets that perform critical operations or
provide critical services. Their inability to perform such operations or
provide such services for their own or others’ benefit could pose a
significant risk of major disruption to the continued operation of
individual participants or the financial system.
Acteurs critiques d’un
marché
Les acteurs des marchés financiers qui exécutent des opérations
critiques ou fournissent des services critiques. Leur incapacité
d'exécuter de telles opérations ou de fournir de tels services pour
leur propre compte ou pour ceux d'autres acteurs pourrait
représenter un risque significatif de perturbation majeure sur la
continuité des opérations des acteurs individuels ou du système
financier.
Critical operation or service
Any activity, function, process, or service, the loss of which would be
material to the continued operation of the financial industry
participant, financial authority, and/or financial system concerned.
Whether a particular operation or service is “critical” depends on the
nature of the relevant organisation or financial system. Data centre
operations are an example of critical operations to most financial
industry participants. Examples of critical services to financial
systems include, but are not limited to, large value payment
processing, clearing and settlement of transactions, and supporting
systems such as funding and reconciliation services.
Opération ou service
critique
N'importe quelle activité, fonction, processus ou service, dont la perte
aurait des conséquences substantielles pour la continuité des
opérations d’un acteur de l’industrie financière, d’une autorité
financière, et/ou du système financier concerné. La détermination du
caractère « critique » d’une opération ou d’un service particulier
dépend de l’organisation ou du système financier concerné. Les
opérations de centre de calcul sont un exemple d'opérations critiques
pour la plupart des acteurs de l’industrie financière. Les exemples de
services critiques pour les systèmes financiers incluent, mais sans y
être limités, le traitement des paiements de gros montant, la
compensation et le règlement des transactions et le support aux
systèmes comme les services de réconciliation et de financement.
Emergency response
organisation
An organisation responsible for responding to hazards to the general
population (eg fire department, police services).
Service de secours
d’urgence
Un service en charge de répondre aux dangers susceptibles de
toucher la population en général (ex : les pompiers, la police).
7/75
Financial authorities
A financial sector regulatory or supervisory organisation having some
level of responsibility for safeguarding, and maintaining public
confidence in, the financial system. Examples include prudential
supervisors of securities firms, insurance companies, and banks and
other deposit-taking institutions, as well as financial services
consumer protection agencies and authorities with responsibility for
stock and commodities exchanges. Non-supervisory central banks
are included in their capacity as overseers of payment and settlement
systems.
Autorités financières
Les organismes de régulation ou de supervision d’un secteur
financier ayant un certain niveau de responsabilité dans la
sauvegarde et le maintien de la confiance publique dans le système
financier. Les exemples incluent les superviseurs prudentiels des
sociétés de valeurs, des sociétés d'assurance et des banques et
d'autres institutions gérant des dépôts, ainsi que les agences de
défense des consommateurs de services financiers et les autorités
qui ont une responsabilité en matière d'échanges de matières
premières et de valeurs. Les banques centrales qui ne sont pas en
charge de la supervision bancaire sont incluses de par leur
responsabilité en matière de surveillance des systèmes de paiement
et de règlement.
Financial industry
participants
Financial institutions and other organisations that participate in the
banking, securities and/or insurance sectors and that are subject to
some level of regulation or supervision by one or more financial
authorities. Examples include banks, securities firms, insurance
companies, stock exchanges, operators of payment and settlement
systems (including central banks that provide such services),
messaging service providers (such as SWIFT), and self-regulatory
organisations.
Acteurs de l’industrie
financière
Les établissements financiers et autres organisations qui participent
aux opérations de banque, aux secteurs des valeurs et/ou des
assurances et qui, de ce fait, sont soumises à un certain niveau de
règlementation ou de surveillance par une ou plusieurs autorités
financières. Les exemples incluent les banques, les sociétés de
valeurs, les sociétés d'assurance, les Bourses, les opérateurs des
systèmes de paiement et de règlement (y compris les banques
centrales qui fournissent de tels services), les fournisseurs de
messagerie (comme SWIFT) et les organisations autorégulées.
8
International standard
setting organisations
Organisations whose responsibilities include defining prudential and
other standards applicable to a specific group of financial industry
participants operating in a particular financial services sector and in a
geographic region encompassing more than one country. Examples
include the Basel Committee on Banking Supervision
(www.bis.org/bcbs), the International Organisation of Securities
Commissions (www.iosco.org), the International Association of
Insurance Supervisors (www.iaisweb.org), the standard setters for
the banking, securities and insurance sectors respectively, and the
Committee on Payment and Settlement Systems (www.bis.org/cpss),
a forum for coordinating the oversight functions of central banks with
respect to payment systems.
Organisations
internationales en charge
de définir des standards
Organisations dont les responsabilités incluent la définition de
recommandations prudentielles et autres standards applicables à un
groupe spécifique d’acteurs de l’industrie financière opérant dans un
secteur de services financiers particulier et dans une région
géographique englobant plus d'un pays. Les exemples incluent le
Comité de Bâle sur le Contrôle Bancaire (www.bis.org/bcbs),
l'Organisation Internationale des Commissions de Valeurs
(www.iosco.org), l'Association Internationale de Superviseurs
d'Assurance (www.iaisweb.org), en charge respectivement des
règles pour les secteurs bancaire, des valeurs et des d'assurances et
le Comité des Systèmes de Paiement et de Règlement
(www.bis.org/cpss), un forum pour coordonner les fonctions de
surveillance des banques centrales pour ce qui concerne ces
systèmes.
9/75
Major operational disruption
A high-impact disruption of normal business operations affecting a
large metropolitan or geographic area and the adjacent communities
that are economically integrated with it. In addition to impeding the
normal operation of financial industry participants and other
commercial organisations, major operational disruptions typically
affect the physical infrastructure.
Major operational disruptions can result from a wide range of events,
such as earthquakes, hurricanes and other weather-related events,
terrorist attacks, and other intentional or accidental acts that cause
widespread damage to the physical infrastructure. Other events, such
as technology viruses, pandemics and other biological incidents may
not cause widespread damage to the physical infrastructure but can
nonetheless lead to major operational disruptions by affecting the
normal operation of the physical infrastructure in other ways. Events
whose impact is most significant are referred to as “extreme events”.
They involve one or more of the following: the destruction of, or
severe damage to, physical infrastructure and facilities, the loss or
inaccessibility of personnel, and, restricted access to the affected
area.
Perturbation opérationnelle
majeure
Une perturbation à fort impact sur les opérations normales des
activités, affectant une grande zone urbaine ou géographique et les
communautés voisines qui lui sont économiquement intégrées. Outre
la menace sur les opérations normales des acteurs de l’industrie
financières et d'autres organisations commerciales, les perturbations
opérationnelles majeures affectent typiquement les infrastructures
physiques.
Les perturbations opérationnelles majeures peuvent résulter d'un
grand éventail d'événements, comme des tremblements de terre, des
ouragans et d'autres événements concernant le climat, des attaques
terroristes et d'autres actes intentionnels ou accidentels qui causent
des dégâts s’étendant aux infrastructures physiques. D’autres
événements, comme les virus technologiques, les pandémies ou
autres accidents biologiques peuvent ne pas causer de dégâts
importants aux infrastructures physiques mais peuvent néanmoins
conduire à des perturbations opérationnelles majeures en affectant le
fonctionnement normal des infrastructures physiques d’une autre
manière. Les événements dont les impact sont les plus significatifs
sont dénommés « événements extrêmes » (ou « chocs extrêmes »
dans le CRBF 2004/02). Ils englobent une ou plusieurs des
conséquences suivantes : la destruction de l'infrastructure physique
et des équipements ou des dégâts sévères,
la perte ou
l'indisponibilité de personnel et la restriction d’accès à la zone
affectée.
Operational risk
Risque opérationel
10
The risk of loss resulting from inadequate or failed internal processes,
people and systems or from external events.
Le risque de perte résultant de l’inadéquation ou de la défaillance
des processus internes, des personnes et des systèmes, ou
d'événements externes.
Payment and settlement
system
A system consisting of a group of member firms and a set of
instruments and procedures for the transmission and settlement of
payments or financial instruments between members.
Système de paiement et
réglement
Un système constitué d'un groupe de sociétés adhérentes et d’un
ensemble d'instruments et de procédures pour la transmission et le
règlement de paiements ou d’instruments financiers entre membres.
Payment and settlement
system operator
An organisation that provides the processing services for transactions
sent by participants in the payment and settlement system. The
services provided could include the generation or processing of
operational data, effecting of controls and security measures, and the
clearing and settlement of payments or other obligations.
Opérateur d’un système de
paiement et de règlement
Une organisation qui fournit les services de traitement pour des
transactions envoyées par des participants au système de paiement
et de règlement. Les services fournis peuvent inclure la génération
ou le traitement de données opérationnelles, l'accomplissement de
contrôles et de mesures de sécurité, la compensation et le règlement
des paiements ou d'autres obligations.
Physical infrastructure
Those assets, facilities and services provided by non-financial
industry participants and widely depended on by business,
governments and individuals for day-to-day activities. Examples
include water, public health, emergency services, telecommunication
and information services, energy, and transportation.
Infrastructure physique
Les actifs, équipements et services fournis par des non-acteurs de
l’industrie financière et dont dépendent largement pour leurs activités
quotidiennes les gouvernements et les personnes. Les exemples
incluent l'eau, la santé publique, les services de secours, les
télécommunications et les services d'information, l’énergie et les
transports.
Recovery
The rebuilding of specific business operations following a disruption
to a level sufficient to meet outstanding business obligations.
Reprise
La reconstruction d'opérations spécifiques après une défaillance, à
un niveau suffisant pour satisfaire les obligations professionnelles
essentielles.
Recovery level
An element of a recovery objective. Recovery level is the target level
of service that will be provided in respect of a specific business
operation after a disruption.
Niveau de reprise
Un élément d’un objectif de reprise. Le niveau de reprise est le
niveau de service cible, relatif à une opération professionnelle
spécifique, qui sera fourni après une interruption.
11/75
Recovery objective
A pre-defined goal for recovering specified business operations and
supporting systems to a specified level of service (recovery level)
within a defined period following a disruption (recovery time).
Objectif de reprise
Un but prédéterminé de récupération des opérations professionnelles
spécifiques et de maintien des systèmes à un niveau de service fixé
(le niveau de reprise) dans une durée définie après une interruption
(le délai de reprise).
Recovery time
An element of a recovery objective. Recovery time is the target
duration of time to recover a specific business operation. A recovery
time has two components: the duration of time from the disruption to
the activation of a business continuity plan; and, the duration of time
from the activation of the business continuity plan to the recovery of
the specific business operation.
Délai de reprise
Un élément d’un objectif de reprise. Le délai de reprise est la durée
cible nécessaire à la reprise d’une opération professionnelle
spécifique. Le délai de reprise a deux composantes : la durée de
l’interruption jusqu’à l'activation d'un plan de continuité d’activité et la
durée depuis l'activation du plan de continuité d’activité jusqu’à la
reprise de l'opération professionnelle spécifique.
Resilience
The ability of a financial industry participant, financial authority or
financial system to absorb the impact of a major operational
disruption and continue to maintain critical operations or services.
Résilience
La capacité d'un acteur de l’industrie financière, d’une autorité
financière ou d’un système financier à absorber l'impact d'une
perturbation opérationnelle majeure et à poursuivre les opérations ou
les services critiques.
12
High-level principles for business continuity
Principes directeurs en matière de continuité d’activité
Background and context
Historique et contexte
1.
Business continuity is an ongoing priority for financial industry participants and
financial authorities.1 Recent acts of terrorism in New York, London, Istanbul, Madrid and
elsewhere, outbreaks of Severe Acute Respiratory Syndrome (SARS) and the Avian Flu, and
various widespread natural disasters have served to heighten that priority by underlining the
substantial risk of major operational disruptions to the financial system.
1.
La continuité d'activité est une priorité permanente pour les acteurs de l’industrie
financière et les autorités financières1. Les actes récents de terrorisme à New York, Londres,
Istanbul, Madrid et ailleurs, les alertes au syndrome respiratoire aigu sévère (SRAS), à la
grippe aviaire et diverses catastrophes naturelles d’envergure ont conduit à intensifier cette
priorité en soulignant un risque substantiel de perturbations opérationnelles majeures pour le
système financier.
2.
Financial authorities and financial industry participants have a shared interest in
promoting the resilience of the financial system to major operational disruptions. This interest
is the result of multiple factors, including:
2.
Les autorités financières et les acteurs de l’industrie financière ont un intérêt
commun dans la promotion de la résilience du système financier face aux perturbations
opérationnelles majeures. Cet intérêt est le résultat de facteurs multiples, dont :
•
The pivotal role that financial intermediation plays in facilitating and promoting
national and global economic activity by providing the means for making and
receiving payments, for borrowing and lending, for effecting transactions, for
insuring risks, and for raising capital and promoting investment;
Le rôle central que l'intermédiation financière joue pour faciliter et promouvoir
l'activité économique nationale et mondiale en fournissant les moyens pour
effectuer et recevoir des paiements, pour emprunter et prêter, pour réaliser des
transactions, pour assurer des risques et pour lever des capitaux et promouvoir
l'investissement ;
•
The concentration of clearing and settlement processes in most financial systems.
Disruptions of these processes can have material adverse consequences for a
financial system and prevent significant market participants from completing
transactions and meeting their obligations;
La concentration des processus de compensation et de règlement dans la plupart
des systèmes financiers. Les ruptures dans ces processus peuvent avoir des
conséquences fâcheuses et importantes pour le système financier et empêcher des
1
“Business continuity”, “financial industry participants”, “financial authorities” and other key terms are defined for purposes of
this paper in the Glossary. For ease of identification, all terms defined in the Glossary are italicised when they are used in
the paper. “Continuité d’activité”, “acteurs de l’industrie financière”, “autorités financières” et autres expressions clés sont
définies pour les besoins de ce document dans le glossaire. Pour les repérer facilement, tous les termes définis dans le
glossaire sont écrits en italique lorsqu’ils sont utilisés dans le document.
13/75
acteurs significatifs du marché d'achever des transactions et de satisfaire à leurs
obligations ;
•
Deepening interdependencies among financial industry participants within and
across jurisdictions. The velocity with which money and securities turn over on a
daily basis underpins the considerable interdependencies – in the form of settlement
risk and, ultimately, credit and liquidity risks – among financial industry participants
and investors. The result is that operational disruptions at one financial industry
participant can cause difficulties at others. Furthermore, given the increasing
globalisation of markets, disruptions in one jurisdiction could have serious
implications for others through contagion effects;
Les interdépendances qui s’amplifient entre les acteurs de l’industrie financière au
sein et entre les pays. La rapidité avec laquelle l'argent et les valeurs circulent tous
les jours entraîne des interdépendances considérables – sous la forme de risque de
règlement et, en fin de compte, de crédit et de liquidité - entre les acteurs de
l’industrie financière et les investisseurs. Le résultat est qu’une défaillance
opérationnelle d’un acteur de l’industrie financière peut causer des difficultés à
d’autres. En outre, étant donné la globalisation croissante des marchés, des
ruptures dans un territoire pourraient avoir des implications sérieuses pour d'autres
par des effets de contagion ;
•
The possibility of terrorist or other malicious attacks targeted, directly or indirectly, at
the infrastructure of the financial system;
La possibilité d’attaques terroristes ou d'autres attaques malveillantes ciblées,
directement ou indirectement, sur l'infrastructure du système financier ;
•
The importance of public confidence in the ability of financial systems to function
smoothly. Repeated or prolonged interruptions to the operation of a financial system
undermine confidence and could result in a withdrawal of capital from that system by
domestic and global participants.
L’importance de la confiance publique dans la capacité des systèmes financiers à
fonctionner sans à-coup. Des interruptions répétées ou prolongées sur l’exploitation
d'un système financier altèrent la confiance et pourraient aboutir à un retrait de
capitaux de ce système par des utilisateurs nationaux ou internationaux.
3.
At the same time, however, other factors such as the increasing complexity and
operational risk in all areas of the financial system add to the challenge of promoting its
resilience. For example, the financial system is keenly dependent on automation and, in turn,
on those components of the physical infrastructure that support automation, such as
telecommunications and power. While the organisations that provide the facilities and
services comprising the physical infrastructure are actively engaged in efforts of their own to
improve their resilience to major operational disruptions, financial authorities and financial
industry participants have no direct control over their decisions when major operational
disruptions occur.
3.
Simultanément, toutefois, d’autres facteurs comme la croissance de la complexité et
du risque opérationnel dans tous les domaines du système financier s’ajoutent au défi de
promouvoir la résilience de celui-ci. Par exemple, le système financier est profondément
dépendant de l'automatisation et, de ce fait, des composants de l'infrastructure physique qui
soutiennent l’automatisation, comme les télécommunications et les énergies. Tandis que les
organisations qui procurent les équipements et les services, y compris les infrastructures
14
physiques, sont activement engagées dans leurs propres efforts pour améliorer leur
résilience aux perturbations opérationnelles majeures, les autorités financières et les acteurs
de l’industrie financière n’ont pas de contrôle direct sur leurs décisions lorsque les
perturbations opérationnelles majeures surviennent.
4.
Financial authorities in some of the key financial centres have been working closely
with financial industry participants to establish a consensus as to what constitutes acceptable
standards for business continuity. This effort has been supported by recent private sector
initiatives. For example, a number of groups have been established for the purpose of
coordinating financial industry participants’ work in the area of business continuity
management.2,3 In addition, some financial sector trade associations have taken a leading
role in promoting sound business continuity management among their memberships through,
for example, the publication of guidance on sound practices.4 Much of this work to date has
been focussed at the national level. As a result, while the work has shared the same broad
objective (ie enhancing the resilience of the financial system), it has generated a variety of
outcomes, including the development of requirements and guidance by financial authorities
in some jurisdictions.
4.
Dans certains centres financiers clefs, les autorités financières ont travaillé
étroitement avec des acteurs de l’industrie financière pour établir un consensus sur ce qui
constitue des standards acceptables pour la continuité d'activité. Cet effort a été soutenu par
des initiatives récentes du secteur privé. Par exemple, un certain nombre de groupes ont été
constitués dans le but de coordonner le travail des acteurs de l’industrie financière dans le
domaine de gestion de la continuité d'activité2,3. De plus, quelques associations
professionnelles du secteur financier ont joué un rôle moteur dans la promotion d’une saine
gestion de continuité d'activité parmi leurs adhérents avec, par exemple, la publication de
guides de saines pratiques4. Beaucoup de ces travaux ont été jusqu'à présent réalisés au
niveau national. En conséquence, bien que partageant le même objectif général (c'est-à-dire
l'amélioration de la résilience du système financier), ces travaux ont donné des résultats
variés, dont le développement d'exigences et de conseils par des autorités financières dans
quelques juridictions.
5.
Consistent with their focus on preserving the functionality of a financial system as a
whole, financial authorities undertaking these initiatives have tended to give priority to critical
market participants. The lessons learned from past experience, however, are applicable to a
broader audience.
2
Conceptually, business continuity management is distinct from financial crisis management in that a financial crisis does not
typically entail business continuity concerns. An event that gives rise to business continuity concerns, however, could
develop into a financial crisis. Conceptuellement, la gestion de continuité d'activité est distincte de la gestion de crise
financière car une crise financière n'entraîne pas systématiquement un problème de continuité d'activité. Cependant, un
événement qui provoque des problèmes de continuité d'activité pourrait donner lieu à une crise financière.
3
Examples of private sector groups include the Securities Industry Business Continuity Management Group, an informal
industry forum of the Securities Industry Association (www.sia.com), and ChicagoFIRST, a non-profit association dedicated
to addressing emergency management issues affecting financial institutions and requiring a coordinated response
(www.chicagofirst.org), in the United States. Exemples de groupes privés sectoriels : le « Securities Industry Business
Continuity Management Group », un forum informel de l’industrie des placements de la Securities Industry Association
(www.sia.com) et « ChicagoFIRST », une association à but non lucratif dédiée à la détermination de réponses aux
questions de gestion des urgences affectant les institutions financières et réclamant des actions coordonnées
(www.chicagofirst.org), aux Etats-Unis.
4
One example is “A Guide to Business Continuity Management” published in January 2003 by the British Bankers’
Association (www.bba.org.uk). Un exemple : “A Guide to Business Continuity Management” publié en janvier 2003 par
l’association des banquiers britanniques (www.bba.org.uk).
15/75
5.
En cohérence avec leur objectif de préserver le fonctionnement du système
financier dans son ensemble, les autorités financières qui ont entrepris ces initiatives ont eu
tendance à donner la priorité aux acteurs critiques des marchés. Toutefois, les leçons tirées
de ces l'expériences passées sont applicables à une audience plus large.
6.
At the international level, while there have been several regulatory initiatives on the
business continuity front, they have been concentrated mainly on coordinating cross-border
communications in a crisis. For example, EU members signed an updated Memorandum of
Understanding in May 2005 on information exchange during a financial crisis; all of the
signatories are EU regulators, central banks and finance ministries. Examples of international
business continuity initiatives with a broader focus include meetings of the Committee on
Payment and Settlement Systems where central bank participants share their experiences in
reviewing and enhancing business continuity plans. The Joint Task Force on Crisis
Management, created by the Committee of European Banking Supervisors and the Banking
Supervision Committee of the European Central Bank to formulate guidance and identify
best practices for crisis management, is an example of similar initiatives at a regional level.
To date, however, there has not been a concerted effort to draw together the lessons learned
from major events and translate them into a set of business continuity principles that is
relevant across national boundaries and financial sectors (ie banking, securities, and
insurance).
6.
Au niveau international, bien qu'il y ait eu plusieurs initiatives réglementaires sur le
front de la continuité d'activité, elles ont été concentrées principalement sur la coordination
des communications internationales en période de crise. Par exemple, les membres de l'UE
ont signé un accord de coopération (Memorandum of Understanding) en mai 2005 sur
l'échange d'informations pendant une crise financière ; tous les signataires sont des
régulateurs de l'UE, des banques centrales et des ministères des finances. Les exemples
d'initiatives internationales sur la continuité d'activité avec un champ plus large sont les
réunions du Comité des Systèmes de Paiement et de Règlement où les participants des
banques centrales partagent leurs expériences en matière d'amélioration des plans de
continuité d'activité. L'équipe commune de travail sur la gestion de crise, créée par le Comité
Européen des Superviseurs Bancaires et le Comité de Supervision Bancaire de la Banque
Centrale Européenne pour formuler des conseils et déterminer les meilleures pratiques pour
la gestion de crise, est un exemple d'initiative comparable à un niveau régional. Toutefois,
jusqu'à présent il n’y a pas eu d’effort concerté pour tirer les leçons d'événements majeurs et
pour traduire celles-ci dans un ensemble de principes pour la continuité d'activité qui serait
applicable au-delà des frontières nationales et aux différents secteurs financiers (c'est-à-dire
banque, valeurs et assurance).
7.
In the summer of 2004, the Financial Stability Forum and the Bank of England cohosted a symposium on business continuity issues. Based on the findings of the symposium,
the Financial Stability Forum asked the sectoral standard setting bodies (the Basel
Committee on Banking Supervision (BCBS), the International Organisation of Securities
Commissions (IOSCO) and the International Association of Insurance Supervisors (IAIS)) or
the Joint Forum to review approaches to business continuity across countries and financial
sectors and consider whether it might be appropriate to develop high-level principles that
could apply across the financial system globally.
7.
Durant l’été 2004, le Forum de Stabilité Financière et la Banque d'Angleterre ont coaccueilli un symposium sur les questions de continuité d'activité. Se fondant sur les
conclusions du symposium, le Forum de Stabilité Financière a demandé aux organisations
sectorielles en charge de définir des standards (le Comité de Bâle sur le Contrôle Bancaire
(BCBS), l'Organisation Internationale de Commissions de Valeurs (IOSCO) et l'Association
Internationale de Superviseurs d'Assurance (IAIS)), ou au Forum Tripartite, de passer en
revue les approches de la continuité d'activité à travers les pays et les secteurs financiers et
16
de se demander s'il pouvait être approprié de développer des principes directeurs
applicables à travers le système financier dans son ensemble.
8.
The Joint Forum’s parent organisations (BCBS, IOSCO and IAIS) confirmed in
November 2004 that the Joint Forum should undertake such a review. Following an initial
scoping exercise, the Joint Forum concluded in February 2005 that high-level principles on
business continuity would contribute beneficially to the resilience of the global financial
system. A formal working group of the Joint Forum (see Annex VII for a list of working group
members) developed a set of high-level principles that were published in a consultative
paper in December 2005. This paper is a revised version of the December 2005 consultation
draft.
8.
Les organisations parentes du Forum Tripartite (BCBS, IOSCO et IAIS) ont confirmé
en novembre 2004 que celui-ci devait entreprendre un tel examen. Après un exercice de
revue initial, le Forum Tripartite a conclu en février 2005 que des principes directeurs en
matière de continuité d'activité contribueraient avantageusement à la résilience du système
financier global. Un groupe de travail formel du Forum Tripartite (voir l'Annexe VII pour la
liste les membres du groupe de travail) a déterminé un ensemble de principes directeurs qui
ont été publiés dans un document de consultation de décembre 2005. Le présent texte est
une version mise à jour du projet mis en consultation en décembre 2005.
Effective business continuity management
Gestion efficace de la continuité des activités
9.
Business continuity management, a significant component of operational risk
management, is a whole-of-business approach that includes policies, standards, and
procedures for ensuring that specified operations can be maintained or recovered in a timely
fashion in the event of a disruption. Its purpose is to minimise the operational, financial, legal,
reputational and other material consequences arising from a disruption. Effective business
continuity management concentrates on the impact, as opposed to the source, of the
disruption, which affords financial industry participants and financial authorities greater
flexibility to address a broad range of disruptions. At the same time, however, organisations
cannot ignore the nature of the risks to which they are exposed. For example, organisations
located in earthquake-prone regions commonly plan for the impact of earthquake-related
major operational disruptions.
9.
La gestion de la continuité d'activité, une composante importante de la gestion des
risques opérationnels, est une approche globale qui inclut la politique, les règles et les
procédures pour s’assurer que des opérations précises peuvent être poursuivies ou
récupérées dans un laps de temps raisonnable dans le cas d'une perturbation. Son but est
de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation
et autres conséquences substantielles résultant d'une perturbation. La gestion efficace de la
continuité d'activité se concentre sur l'impact de la perturbation, par opposition à sa source,
ce qui donne aux acteurs de l’industrie financière et aux autorités financières une flexibilité
plus grande pour répondre à une large gamme de perturbations. Toutefois, en même temps,
les organisations ne peuvent pas ignorer la nature des risques auxquels elles sont exposées.
Par exemple, les organisations situées dans des régions sujettes aux tremblements de terre
se préparent généralement aux effets de perturbations opérationnelles majeures liées aux
tremblements de terre.
17/75
10.
Effective business continuity management typically incorporates business impact
analyses, recovery strategies and business continuity plans as well as testing programmes,
training and awareness programmes, and communication and crisis management
programmes.
10.
La gestion efficace de la continuité d'activité incorpore habituellement des analyses
d'impact sur l’activité, des stratégies de reprise et des plans de continuité d'activité ainsi que
des programmes de tests, des programmes de sensibilisation et de formation et des
programmes de gestion et de communication de crise.
•
A business impact analysis is the starting point – it is a dynamic process for
identifying critical operations and services, key internal and external dependencies
and appropriate resilience levels. It assesses the risks and potential impact of
various disruption scenarios on an organisation’s operations and reputation.
L’analyse d'impact sur l’activité est le point de départ - c'est un processus
dynamique pour identifier les opérations et services critiques, les dépendances
clefs, internes et externes, et les niveaux de résilience appropriés. Il évalue les
risques et les impacts potentiels de divers scénarios de perturbation sur les
opérations d'une organisation et sur sa réputation.
•
A recovery strategy sets out recovery objectives and priorities that are based on the
business impact analysis. Among other things, it establishes targets for the level of
service the organisation would seek to deliver in the event of a disruption and the
framework for ultimately resuming business operations.5
Une stratégie de reprise présente des objectifs de reprise et des priorités qui sont
basés sur l'analyse d'impact sur l’activité. Entre autres choses, elle établit des cibles
pour le niveau de service que l'organisation chercherait à atteindre en cas de
perturbation et en fin de compte un cadre pour reprendre les opérations 5.
•
Business continuity plans provide detailed guidance for implementing the recovery
strategy. They establish the roles and allocate responsibilities for managing
operational disruptions and provide clear guidance regarding the succession of
authority in the event of a disruption that disables key personnel. They also clearly
set out the decision-making authority and define the triggers for invoking the
organisation’s business continuity plan. The personal safety of staff should be the
paramount consideration of an organisation’s business continuity plan.
Les plans de continuité d’activité fournissent des conseils détaillés pour mettre en
oeuvre la stratégie de reprise. Ils établissent les rôles et distribuent des
responsabilités pour gérer des perturbations opérationnelles. Ils fournissent un
guide clair quant aux délégations d'autorités en cas de perturbation rendant
indisponible le personnel clef. Ils exposent aussi clairement la chaîne du processus
décisionnel et définissent les déclencheurs du plan de continuité d'activité de
l'organisation. La sécurité personnelle des employés devrait être la considération
primordiale du plan de continuité d'activité d'une organisation.
5
18
The ultimate objective of a business continuity plan is the full restoration of an organisation’s operations to the point where
the organisation is able to resume normal business operations. Most plans sequence the recovery of operations according
to their business impact, focussing first on an organisation’s critical operations. L'objectif ultime d'un plan de continuité
d'activité est la pleine restauration des opérations d'une organisation jusqu’au point où l'organisation est capable de
reprendre ses opérations normales. La plupart des plans ordonnent la reprise des opérations selon leur impact, se
concentrant d'abord sur les opérations critiques.
The benefits of high-level principles
Intérêt de disposer de principes directeurs
11.
The high-level principles set out in this paper are intended to support international
standard setting organisations and national financial authorities in their efforts to improve the
resilience of financial systems to major operational disruptions. They are not sufficiently
detailed to substitute for sectoral or national arrangements and are not intended for this
purpose. Rather, they provide a broad framework for international standard setting
organisations and national financial authorities to use in developing business continuity
arrangements that are more detailed and more closely tailored to their unique sectoral and
local circumstances. They also provide a consistent context for those arrangements and, in
so doing, promote a common base level of resilience across national boundaries. Moreover,
given the global nature of the financial industry and the role of financial authorities as the
focal point for cross-border information exchange and action in the event of a major
operational disruption, the principles encourage enhancements to the cross-border
communication channels that would be used during such disruptions.
11.
Les principes directeurs exposés dans ce document sont destinés à soutenir les
organisations internationales en charge de définir des règles et les autorités financières
nationales dans leurs efforts pour améliorer la résilience des systèmes financiers face aux
perturbations opérationnelles majeures. Ils ne sont pas suffisamment détaillés pour
remplacer les dispositions sectorielles ou nationales et ne sont pas destinés à cette fin. Ils
fournissent plutôt un cadre de travail général pour des organisations internationales en
charge de définir des règles et les autorités financières nationales, à utiliser dans le
développement de dispositions pour la continuité d'activité qui sont plus détaillées et mieux
conçues pour les circonstances sectorielles et locales particulières. Ils fournissent aussi un
contexte cohérent pour ces dispositions et, ainsi, promeuvent une base commune de
résilience au niveau international. De plus, étant donné la nature mondiale de l'industrie
financière et le rôle des autorités financières comme point central pour l'échange
international d'information et pour l'action en cas de perturbation opérationnelle majeure, ces
principes encouragent le renforcement des canaux de communication transfrontières qui
seraient utilisés pendant de telles perturbations.
12.
The high-level principles set out in this paper are therefore not intended to be
prescriptive, nor are they directed exclusively at those financial industry participants
considered to be critical market participants. Rather, they constitute a broad framework of
sound practice relevant to all financial industry participants and financial authorities in all
jurisdictions. Broad applicability of the high-level principles, however, does not mean a onesize-fits-all approach to business continuity. An organisation’s business continuity
management should be proportionate to its business risk (arising from both internal and
external sources) and tailored to the scale and scope of its operations.
12.
Les principes directeurs exposés dans ce document ne sont pas donc destinés à
être prescriptifs. Ils ne sont pas non plus destinés exclusivement aux acteurs de l’industrie
financière qui sont considérés comme des acteurs critiques d’un marché. Ils constituent
plutôt un cadre de travail général pour établir de saines pratiques adaptées à tous les
acteurs de l’industrie financière et autorités financières dans toutes les juridictions. Toutefois,
le fort degré d’application de ces principes directeurs ne correspond pas à une approche de
la continuité d'activité sur un modèle unique pour tous. La gestion de la continuité d'activité
d'une organisation doit être proportionnée à son risque professionnel (résultant de sources
tant internes qu'externes) et façonnée selon l'ampleur et la portée de ses opérations.
13.
Operational disruptions of varying kinds and impact are commonplace –
organisations routinely accommodate such risks as computer malfunctions, power failures
19/75
and transportation disruptions in their business continuity plans. From a corporate
perspective, resilience to operational disruptions has a clear commercial rationale –
customers of organisations whose systems are prone to regular failure as a result of
relatively common events will inevitably choose to do business with more resilient
competitors. In a competitive environment, an organisation typically will weigh its direct
benefit from measures to improve its resilience to operational disruptions against the cost of
those measures.
13.
Les perturbations opérationnelles de types et impacts différents sont banales –
généralement les organisations ont adapté leur plan de continuité d’activité à de tels risques,
comme les défaillances informatiques, les pannes d’approvisionnement en énergie et les
interruptions des transports. Du point de vue de l'entreprise, la résilience aux perturbations
opérationnelles a une justification commerciale claire - les clients d'organisations dont les
systèmes sont susceptibles de défaillir régulièrement, suite à des événements relativement
communs, voudront inévitablement traiter avec des concurrents plus robustes. Dans un
environnement compétitif, une organisation comparera l’avantage direct de mesures prises
pour améliorer sa résilience aux perturbations opérationnelles avec le coût de ces mesures.
14.
Similar cost-benefit considerations apply to measures for improving a financial
system’s resilience to operational disruptions. The benefits of improved systemic resilience
accrue to all participants in that system (albeit to a varying extent), but in most cases such
improvements are the result of investments in business continuity by individual financial
industry participants. Because financial industry participants typically consider only their
direct benefits and costs whereas financial authorities are expected to consider the broader
public interest dimension, a natural tension exists between the levels of resilience that
financial industry participants might consider reasonable for their own business purposes and
the objectives of financial authorities for the resilience of the financial system as a whole.
Recognising the shared interest in improving the resilience of the financial system, the highlevel business continuity principles set out in this paper represent an attempt to delineate a
measured approach to business continuity that is sufficient in terms of its impact on the
overall resilience of a financial system and, at the same time, proportionate to the risks
posed by particular financial industry participants. Without diminishing the authority of
financial authorities to ultimately determine the appropriate level of systemic resilience, an
ongoing dialogue between all affected parties, reinforced through appropriate joint exercises
and testing, should produce a reasonable and responsible outcome.
14.
Des considérations semblables de coût/bénéfice s'appliquent aux mesures
d’amélioration de la résilience d'un système financier face aux perturbations opérationnelles.
Une résilience systémique accrue bénéficie à tous les participants à ce système (bien qu'à
des degrés variables), mais dans la plupart des cas de telles améliorations sont le résultat
d'investissements dans la continuité d'activité réalisés individuellement par les acteurs de
l’industrie financière. Parce que les acteurs de l’industrie financière considèrent en général
uniquement leurs bénéfices et coûts directs alors que l'on s'attend à ce que des autorités
financières considèrent la dimension plus large de l'intérêt public, un écart naturel existe
entre les niveaux de résilience que les acteurs de l’industrie financière pourraient considérer
comme raisonnables pour leurs buts propres et les objectifs des autorités financières pour la
résilience du système financier dans son l'ensemble. En reconnaissant un intérêt commun
dans l'amélioration de la résilience du système financier, les principes directeurs de
continuité d'activité exposés dans ce document représentent une tentative de tracer une
approche mesurée de la continuité d'activité qui est suffisante en termes d’impact sur la
résilience complète du système financier et, en même temps, proportionnée aux risques
présentés par des membres particuliers de l'industrie financière. Sans diminuer le pouvoir
des autorités financières pour en fin de compte déterminer le niveau approprié de résilience
systémique, un dialogue continu entre toutes les parties prenantes, renforcé par des
20
exercices communs appropriés et des tests, devrait produire un résultat raisonnable et
responsable.
15.
In formulating the high-level principles, careful account has been taken of the
lessons learned from recent instances of major operational disruption, some of which are
summarised in the case studies set out in Annexes I to V. These case studies illustrate the
general applicability of the principles. In addition, for each lesson learned a specific reference
to the relevant principle is provided. Care was also taken to avoid unnecessary duplication of
work that has already been undertaken in the business continuity area. A bibliography of the
publications considered in the development of the principles is provided in Annex VI.
15.
Dans la formulation des principes directeurs, il a été soigneusement tenu compte
des leçons tirées des cas récents de perturbations opérationnelles majeures, et quelquesuns ont été résumés dans les études de cas exposées dans les annexes I à V. Ces études
de cas illustrent le degré d’application général des principes. De plus, pour chaque leçon
apprise une référence spécifique au principe associé est mentionnée. On a aussi pris soin
d’éviter la duplication inutile de travaux déjà entrepris sur le thème de la continuité d'activité.
Une bibliographie des publications utilisées dans le développement de ces principes est
fournie dans l'Annexe VI.
Target audiences
Audiences cibles
16.
The high-level business continuity principles in this paper have been developed for
two distinct but related audiences – financial industry participants and financial authorities.
While these groups have different perspectives, roles and responsibilities in the event of a
major operational disruption, both are integral in any meaningful effort to improve the
financial system’s resilience to such disruptions. The same effort will not be required of every
organisation in these groups to achieve the objectives of every principle in this paper. In fact,
many organisations in both groups already have effective and comprehensive approaches to
business continuity management. There are organisations in both groups, however, whose
careful attention to these principles would not only improve their resilience to major
operational disruptions but yield benefits for the resilience of the financial system more
broadly.
16.
Dans ce document, les principes directeurs en matière de continuité d’activité ont
été développés pour deux audiences distinctes mais liées - les acteurs de l’industrie
financières et les autorités financières. Bien que ces groupes aient des perspectives, des
rôles et des responsabilités différents en cas de perturbation opérationnelle majeure, tous les
deux sont impliqués dans tout effort significatif pour améliorer la résilience du système
financier face à de telles perturbations. Le même effort ne sera pas exigé de chacune des
organisations dans ces groupes pour réaliser les objectifs de chaque principe. En fait,
beaucoup d'organisations dans les deux groupes ont déjà des approches efficaces et
complètes pour la gestion de la continuité d'activité. Toutefois, il y a des organisations dans
les deux groupes dont le strict respect de ces principes améliorerait non seulement leur
propre résilience aux perturbations opérationnelles majeures, mais renforcerait plus
largement la résilience du système financier.
21/75
Financial industry participants
Les acteurs de l’industrie financière
17.
For the purpose of this paper, the term financial industry participants should be
understood in its broadest sense so that it captures not only financial institutions such as
banks, securities firms, and insurance companies, but also those organisations that provide
services that are necessary for financial systems to operate, such as stock and commodities
exchanges, self-regulatory organisations, and payment and settlement system operators.6
17.
Pour la finalité de ce document, le terme d’acteurs de l’industrie financière doit être
compris dans son sens le plus large afin d’englober des institutions non seulement
financières comme des banques, des sociétés de valeurs et des sociétés d'assurance, mais
aussi les organisations qui fournissent les services nécessaires au fonctionnement des
systèmes financiers, comme les échanges de valeurs et de matières premières, les
organisations autorégulées et les opérateurs des systèmes de paiement et de règlement6.
18.
Within this broad target audience, there is a subset of participants that provide
critical services to financial systems. Large value payment processing and securities
settlement are examples of critical services in a financial system. A disruption of the services
provided by these participants, for which there are no viable immediate substitutes in many
cases, would have a cascading effect on the financial system. In addition, in some markets
there may be financial industry participants whose inability to continue normal operations
could, because of the significance of their role in those markets, affect other participants in
those markets and thereby have a cascading effect on the financial system. For these
financial industry participants, there is an inevitable step-up in their obligation to ensure a
high degree of resilience in the event of a major operational disruption. In contrast, the
inability of an individual financial industry participant to continue operating in the event of a
major operational disruption generally would not render the markets in which they operate
dysfunctional, except where that participant is a critical market participant. Principle 3
provides additional clarity on this distinction within this target audience and its implications for
business continuity management.
18.
Au sein du large public visé, il existe un sous-ensemble de membres qui fournissent
des services critiques aux systèmes financiers. Les traitements des paiements et des
règlements de valeurs de montant élevé sont des exemples de services critiques dans un
système financier. Une rupture des services fournis par ces membres, pour lesquels dans de
nombreux cas il n'y a aucun remplaçant immédiat viable, aurait un effet de retombée en
cascade sur le système financier. De plus, sur certains marchés, il peut y avoir des acteurs
de l’industrie financière dont l'incapacité de continuer des opérations normales, en raison de
leur rôle significatif sur ces marchés, pourrait affecter d'autres participants de ces marchés et
avoir ainsi un effet de retombée en cascade sur le système financier. Pour ces acteurs de
l’industrie financière, il y a une augmentation inévitable de leur obligation d'assurer un haut
degré de résilience en cas d'une perturbation opérationnelle majeure. Au contraire,
l'incapacité individuelle d'un acteur de l’industrie financière à continuer à fonctionner dans le
6
22
Financial sector trade associations are not included in the definition of financial industry participants; therefore, the highlevel principles in this paper do not apply to them. It is recognised nonetheless that these organisations play an important
role in promoting effective business continuity management practices among their member firms. Depending on their roles
in their respective markets, industry associations can also be helpful in other ways, such as in the planning and conducting
of industry-wide tests and the development and maintenance of communication protocols.
Les
associations
professionnelles du secteur financier ne sont pas incluses dans la définition des acteurs de l’industrie financière ; donc, les
principes directeurs de ce document ne s'appliquent pas à elles. Il est reconnu néanmoins que ces organisations jouent un
rôle important dans la promotion de bonnes pratiques de gestion de continuité d'activité parmi leurs sociétés membres.
Selon leurs rôles sur leur marché respectif les associations professionnelles peuvent aussi être utiles d’autres manières,
comme dans la planification et la conduite de tests pour toute l’industrie et le développement et l’entretien de protocoles de
communication.
cas d'une perturbation opérationnelle majeure ne rend généralement pas inopérants les
marchés sur lesquels il intervient, sauf dans le cas où ce membre est un acteur critique du
marché. Le principe 3 donne des explications complémentaires sur cette distinction au sein
de l’audience cible et sur ses conséquences sur la gestion de la continuité d'activité.
Financial authorities
Les autorités financières
19.
The term financial authorities should be understood, for the purpose of this paper, to
include those organisations with financial sector regulatory or supervisory responsibilities.
For example, prudential supervisory authorities with responsibilities for banks and other
deposit-taking institutions, insurance companies, and securities firms are included, as are
financial services consumer protection agencies and authorities responsible for overseeing
financial markets. Non-supervisory central banks are also included in their capacity as
overseers of payment and settlement systems.7 Because the mandates of financial
authorities vary, however, the approach to business continuity management that is most
appropriate for one financial authority may not be as appropriate for another.
19.
Le terme d’autorités financières doit être compris, pour la finalité de ce document,
comme incluant les organisations du secteur financier qui ont des responsabilités en matière
de régulation ou de supervision. Par exemple, les autorités prudentielles de supervision avec
des responsabilités sur les banques et autres institutions collectant des dépôts, sur les
sociétés d'assurance et sur les sociétés de valeurs sont incluses, tout comme le sont les
agences de protection des consommateurs des services financiers et les autorités
responsables de surveiller les marchés financiers. Des banques centrales qui ne sont pas en
charge de la supervision bancaire sont aussi concernées de par leur responsabilité en
matière de surveillance des systèmes de paiement et de règlement7. Toutefois, en raison de
la diversité des mandats des autorités financières, l'approche de la gestion de continuité
d’activité qui est la plus appropriée pour une autorité financière peut ne pas l’être pour une
autre.
20.
As well as having to attend to their own business continuity in the event of a major
operational disruption, financial authorities have broader public responsibilities for
safeguarding and maintaining public confidence in the financial system. For example,
national governments might seek the advice of financial authorities regarding the deployment
of resources and restoration of services. Financial authorities might also need to consider
various types of regulatory forbearance to enable financial industry participants to focus on
recovering critical operations and providing essential services to their clients. Therefore, the
principles that apply to financial authorities explicitly incorporate the need to understand how
a major operational disruption might affect the functioning of financial industry participants
and the financial system as a whole, and to identify financial industry participants whose
inability to recover their operations and resume normal business activities in a reasonable
timeframe would have wider implications for the financial system. Because the mandates of
financial authorities vary, however (eg some prudential supervisors are responsible for
systemic issues while others are not), the extent to which a particular principle applies to a
given financial authority might also vary.
7
In light of their responsibility for broader financial stability in many jurisdictions, central banks are likely to perform various
other roles in the event of a major operational disruption. For purposes of this paper, however, central banks’ lender of last
resort and monetary policy functions are not intended to be captured in this definition of financial authorities. Vu leur
responsabilité plus large sur la stabilité financière dans beaucoup de juridictions, les banques centrales jouent
probablement divers autres rôles en cas de perturbation opérationnelle majeure. Toutefois, pour les finalités de ce
document, leur rôle de prêteur en dernier ressort et leurs fonctions de politique monétaire ne sont pas inclus dans le champ
de la définition des autorités financières.
23/75
20.
Bien que devant faire attention à leur propre continuité d'activité en cas de
perturbation opérationnelle majeure, les autorités financières ont la responsabilité publique
plus large de maintenir la confiance du public dans le système financier. Par exemple, des
gouvernements nationaux pourraient chercher conseil auprès des autorités financières quant
au déploiement de ressources et à la restauration de services. Les autorités financières
pourraient aussi devoir considérer divers types de tolérances en matière de régulation pour
permettre aux acteurs de l’industrie financière de se concentrer sur des opérations critiques
et sur la fourniture de services essentiels à leurs clients. Pour cette raison, les principes qui
s'appliquent aux autorités financières incorporent explicitement le besoin de comprendre
comment une perturbation opérationnelle majeure pourrait affecter le fonctionnement des
acteurs de l’industrie financière et le système financier dans son ensemble, et identifier les
acteurs de l’industrie financière dont l'incapacité de reprendre leurs opérations et leurs
activités professionnelles dans un délai raisonnable aurait des implications plus larges pour
le système financier. Toutefois, parce que les mandats des autorités financières varient, (ex :
certains superviseurs prudentiels sont responsables de questions systémiques tandis que
d'autres ne le sont pas), l’ampleur selon laquelle ce principe particulier s'applique à une
autorité financière donnée pourrait aussi varier.
24
High-level principles for business continuity
Principes directeurs en matière de continuité des activités
21.
The high-level principles that follow are applicable to both financial industry
participants and financial authorities except for Principle 7, which is relevant only for financial
authorities. Because of the different perspectives, roles and responsibilities of these two
groups of organisations in the event of a major operational disruption, however, the way in
which a particular principle applies may be different. The key differences in application are
highlighted in the discussion that follows each principle.
21.
Les principes directeurs qui suivent sont applicables tant aux acteurs de l’industrie
financière qu'aux autorités financières à l’exception du principe n°7, qui ne concerne que les
autorités financières. Toutefois, à cause des perspectives, des rôles et des responsabilités
qui différent entre ces deux groupes, en cas de perturbation opérationnelle majeure, la
manière dont un principe particulier s'applique peut être différente. Les différences clefs dans
leur application sont mises en évidence dans la discussion qui suit l’énoncé de chaque
principe.
22.
The principles in this paper build upon traditional concepts of effective business
continuity management in the following ways:
22.
Les principes dans ce document enrichissent les concepts traditionnels de gestion
efficace de la continuité d'activité de la manière suivante :
•
Principle 1 emphasises that the requirement for sound business continuity
management applies to all financial authorities and financial industry participants
and that the ultimate responsibility for business continuity management – not unlike
the management of other risks – rests with an organisation’s board of directors and
senior management. 8,9
Le principe 1 met l’accent sur l'exigence qu’une saine gestion de la continuité
d'activité s'applique à toutes les autorités financières et à tous les membres de
l’industrie financière et que la responsabilité ultime de la gestion de continuité
8
This paper refers to a management structure comprising a board of directors and senior management. It is recognised,
however, that there are significant differences in legislative and regulatory frameworks across countries as regards the
functions of the board of directors and senior management. In some countries, the board has the main, if not exclusive,
function of supervising the executive body (senior management, general management) so as to ensure that the latter fulfils
its tasks. For this reason, in some cases, it is known as a supervisory board. This means that the board has no executive
functions. In other countries, the board has a broader competence in that it lays down the general framework for the
management of the bank. Owing to these differences, the terms “board of directors” and “senior management” are used in
this paper not to identify legal constructs but rather to label two decision-making functions within an organisation. Ce
document se réfère à une structure de gestion comprenant un conseil d'administration et une direction générale. Il est
reconnu, cependant, qu'il y a des différences significatives de structures législatives et régulatrices à travers les pays en ce
qui concerne les fonctions du conseil d'administration et de la direction générale. Dans certains pays, le conseil a pour
fonction principale, voire exclusive, la surveillance de l’exécutif (la direction générale, le haut encadrement) afin de s'assurer
que ce dernier accomplisse ses tâches. Pour cette raison, dans quelques cas, on le désigne comme un conseil de
surveillance. Cela signifie que le conseil n'a aucune fonction exécutive. Dans d'autres pays, le conseil a une compétence
plus large dans laquelle il fixe la structure générale pour la gestion de la banque. Compte tenu de ces différences, les
termes "Organe délibérant" et "Direction générale" sont utilisés dans ce document non pour désigner une structure légale,
mais plutôt deux fonctions du processus décisionnel d’une organisation.
9
Not all financial authorities have boards, in which case references to the board or the board and senior management should
be read to mean senior management. Toutes les autorités financières n’ont pas un Organe délibérant, auquel cas les
références a l’Organe délibérant ou à l’Organe délibérant et à la Direction générale devront être lues comme signifiant la
Direction générale.
25/75
d'activité – contrairement à la gestion d'autres risques – repose sur le conseil
d'administration et la direction générale d'une organisation8,9.
•
Principle 2 advises organisations that they should explicitly consider and plan for
major operational disruptions. While this concept may be new for many
organisations, it is considered important in light of the increasing frequency of such
events.
Le principe 2 conseille aux organisations de prendre en compte explicitement les
perturbations opérationnelles majeures et de s’y préparer. Bien que ce concept
puisse être nouveau pour beaucoup d'organisations, il est considéré comme
important à la lumière de la fréquence croissante de tels événements.
•
Principle 3 states that financial industry participants should develop recovery
objectives that reflect the risk they represent to the operation of the financial system.
Financial industry participants that provide critical services to, or otherwise present
significant risk to the operation of, the financial system should target higher
standards in their business continuity management than other participants. This
concept may be new for some financial industry participants. Because the steps
necessary to improve the resilience of the financial system may be more costly than
the steps such participants would choose to undertake on their own, financial
authorities are encouraged to participate, as appropriate, in identifying recovery
objectives that are proportionate to the risk posed by a given participant in order to
achieve a reasonably consistent level of resilience.
Le principe 3 établit que les acteurs de l’industrie financière devraient développer
des objectifs de reprise qui reflètent le risque qu’ils représentent pour le
fonctionnement du système financier. Les acteurs de l’industrie financière qui
fournissent des services critiques au système financier, ou présentent autrement un
risque significatif pour le fonctionnement dudit système devraient se fixer des cibles
plus ambitieuses pour leur gestion de la continuité d'activité que les autres
membres. Ce concept peut être nouveau pour quelques acteurs de l’industrie
financière. Parce que les étapes nécessaires dans l’amélioration de la résilience du
système financier peuvent être plus coûteuses que les progrès que de tels
participants voudraient entreprendre seuls, les autorités financières sont
encouragées à participer, de manière appropriée, à la fixation d’objectifs de reprise
qui soient proportionnés au risque représenté par un participant donné, pour obtenir
un niveau raisonnablement cohérent de résilience.
•
Principle 4 stresses the critical importance of business continuity plans addressing
the full range of internal and external communication issues an organisation may
encounter in the event of a major operational disruption. The principle specifically
recognises that clear, regular communication during a major operational disruption
is necessary to manage a crisis and maintain public confidence.
Le principe 4 insiste sur l'importance critique, dans les plans de continuité d'activité,
de la couverture d’une gamme complète de questions de communication interne et
externe qu’une organisation peut rencontrer en cas de perturbation opérationnelle
majeure. Le principe reconnaît spécifiquement qu’une communication claire et
régulière pendant une perturbation opérationnelle majeure est nécessaire pour
gérer une crise et maintenir la confiance du public.
•
26
Principle 5 highlights the special case of cross-border communications during a
major operational disruption. Given the deepening interdependencies of financial
systems across national boundaries, this principle advises financial industry
participants and financial authorities to adopt communication protocols that address
situations where cross border communication may be necessary.
Le principe 5 souligne le cas spécial des communications internationales pendant
une perturbation opérationnelle majeure. Étant donné les interdépendances
croissantes entre les systèmes financiers au-delà des frontières nationales, ce
principe conseille aux acteurs de l’industrie financière et aux autorités financières
d'adopter des protocoles de communication qui répondent aux situations où la
communication internationale peut être nécessaire.
•
Principle 6 emphasises the need to ensure that business continuity plans are
effective and to identify necessary modifications through periodic testing.
Le principe 6 insiste sur le besoin de s'assurer que des plans de continuité d'activité
sont
efficaces et d’identifier les modifications nécessaires par des tests
périodiques.
•
Finally, to ensure that financial industry participants are in fact implementing
appropriate approaches to business continuity management that reflect the recovery
objectives adopted in accordance with Principles 1 and 3, Principle 7 calls upon
financial authorities to incorporate business continuity management reviews into
their frameworks for assessing financial industry participants.
Enfin, pour veiller à ce que des acteurs de l’industrie financière mettent bien en
oeuvre des approches appropriées pour une gestion de continuité d’activité, qui
reflète les objectifs de reprise adoptés conformément aux principes 1 et 3, le
principe 7 invite les autorités financières à incorporer des vérifications de gestion de
la continuité d’activité dans leurs programmes d’évaluation des acteurs de l’industrie
financière.
Principle 1: Board and senior management responsibility
Principe 1 : Responsabilités de l’Organe délibérant et de la Direction générale
Financial industry participants and financial authorities should have effective and
comprehensive approaches to business continuity management. An organisation’s
board of directors and senior management are collectively responsible for the
organisation’s business continuity.
Les acteurs de l’industrie financière et les autorités financières se doivent d’avoir des
approches efficaces et complètes de la gestion de la continuité d’activité. L’Organe
délibérant d'une organisation et sa Direction générale sont collectivement
responsables de la continuité d’activité de l'organisation.
23.
Business continuity management should be an integral part of the overall risk
management programme of financial industry participants and financial authorities. Business
continuity management policies, standards and processes should be implemented on an
enterprise-wide basis or, at a minimum, embedded in an organisation’s critical operations.
Comprehensive business continuity management addresses not only technical
considerations but also the human dimension. In so doing, it recognises that employees and
possibly their families may be affected by the same event that gives rise to business
continuity concerns and that, as a result, not all employees will be available to the
organisation during or immediately following the event.
23.
La gestion de continuité d’activité devrait être une partie intégrante du programme
complet de gestion du risque des acteurs de l’industrie financière et des autorités
financières. La politique, les règles et les processus de la gestion de continuité d’activité
devraient être mis en oeuvre à l’échelle de l’entreprise ou, au minimum, incorporés aux
opérations critiques de l’organisation. Une gestion complète de la continuité d’activité
englobe non seulement des considérations techniques, mais aussi la dimension humaine.
27/75
De la sorte, elle reconnaît que les employés et éventuellement aussi leur famille peuvent être
affectés par le même événement qui a justifié les mesures de continuité d’activité et donc,
comme conséquence, que tous les employés peuvent ne pas être disponibles pour
l’entreprise pendant ou immédiatement après l’événement.
24.
An organisation’s board and senior management are responsible for managing its
business continuity effectively and for developing and endorsing appropriate policies to
promote resilience to, and continuity in the event of, operational disruptions. They should
recognise that outsourcing a business operation does not transfer the associated business
continuity management responsibilities to the service provider. The board and senior
management should create and promote an organisational culture that places a high priority
on business continuity. This message should be reinforced by providing sufficient financial
and human resources to implement and support the organisation’s approach to business
continuity management.
24.
L’Organe délibérant d'une organisation et sa Direction générale ont la responsabilité
de gérer efficacement la continuité d’activité et de développer et approuver la politique
appropriée pour renforcer la résilience et la continuité en cas de perturbations
opérationnelles. Ils doivent reconnaître que l'externalisation d'une opération ne transfère pas
au fournisseur du service les responsabilités de gestion de continuité associées. L’Organe
délibérant et la Direction générale doivent créer et promouvoir une culture organisationnelle
qui affecte un degré élevé de priorité à la continuité d’activité. Ce message doit être renforcé
en fournissant des ressources financières et humaines suffisantes pour mettre en oeuvre et
soutenir l'approche retenue par l'organisation pour sa gestion de continuité d’activité.
25.
A framework should be implemented for reporting to the board and senior
management on matters related to business continuity, including implementation status,
incident reports, testing results and related action plans for strengthening an organisation’s
resilience or ability to recover specific operations. An organisation’s business continuity
management should be subject to review by an independent party, such as internal or
external audit, and significant findings should be brought to the attention of the board and
senior management on a timely basis.
25.
Un cadre de remontée d’information à l’Organe délibérant et à la Direction générale
doit être mis en place sur les questions liées à la continuité d’activité, y compris le niveau de
mise en oeuvre, les rapports d’incidents, les résultats des tests et les plans d'action associés
pour renforcer la résilience de l’organisation ou la capacité de reprendre des opérations
spécifiques. La gestion de continuité d’activité d'une organisation doit être soumise à un
examen par une partie indépendante, comme l'audit interne ou externe, et les constats
significatifs de cette dernière devraient être portés à l'attention de l’Organe délibérant et de la
Direction générale dans un délai raisonnable.
26.
Confusion can be a major obstacle to an effective response to an operational
disruption. Accordingly, roles, responsibilities and authority to act, as well as succession
plans, should be clearly articulated in an organisation’s business continuity management
policies. Senior management should recognise that they may need to re-align priorities and
resources during a disruption in order to expedite recovery and respond decisively. It is
important that a locus of responsibility for managing business continuity during a disruption is
established, such as a crisis management team with appropriate senior management
membership. In addition, senior management should be involved in communicating the
organisation’s response, commensurate with the severity of the disruption.
26.
La confusion peut être un obstacle majeur à une réponse efficace suite à une
perturbation opérationnelle. En conséquence, les rôles, responsabilités et autorités pour agir,
ainsi que les plans de succession ou de substitution, devraient être clairement articulés dans
28
la politique de gestion de la continuité d’activité d'une organisation. La Direction générale
devrait reconnaître qu'elle peut avoir à redistribuer les priorités et les ressources pendant
une perturbation, afin d’accélérer, de manière décisive, la reprise et les réponses apportées.
Il est important qu'une structure d’accueil soit prévue pour les responsables de la gestion de
la continuité d’activité pendant une perturbation, telle une équipe de gestion de crise qui
associe les membres appropriés de la Direction générale. De plus, la Direction générale
devrait être impliquée pour communiquer sur la réaction de l'organisation, de manière
proportionnée à la sévérité de la perturbation.
27.
In the case of financial authorities, the board and senior management should be
confident in the authority’s ability to fulfil its mandate during an operational disruption that
affects its own operations or those of the financial system. Accordingly, they should be
satisfied that the authority’s powers provide for sufficient flexibility to respond appropriately
and expeditiously to the wide range of issues that might arise under such circumstances.
Given the interdependencies within financial systems, it would be useful for financial
authorities that share oversight responsibilities for a given financial system to agree on an
appropriate framework for coordinating the response to major operational disruptions
affecting that system.
27.
Dans le cas des autorités financières, l’Organe délibérant et la Direction générale
doivent acquérir la confiance dans la capacité de l'autorité à accomplir son mandat pendant
une perturbation opérationnelle qui affecte ses propres opérations ou celles du système
financier. En conséquence, les pouvoirs de l'autorité doivent présenter la flexibilité suffisante
pour répondre convenablement et rapidement à la grande diversité des problèmes qui
pourraient surgir dans de telles circonstances. Étant donné les interdépendances dans les
systèmes financiers, il serait utile pour des autorités financières qui partagent des
responsabilités de surveillance d'un système financier de convenir d'un dispositif approprié
pour coordonner la réponse aux perturbations opérationnelles majeures qui affectent ce
système.
Principle 2: Major operational disruptions
Principe 2 : Perturbations opérationnelles majeures
Financial industry participants and financial authorities should incorporate the risk of
a major operational disruption into their approaches to business continuity
management. Financial authorities’ business continuity management also should
address how they will respond to a major operational disruption that affects the
operation of the financial industry participants or financial system for which they are
responsible.
Les acteurs de l’industrie financière et les autorités financières devraient incorporer le
risque d'une perturbation opérationnelle majeure dans leurs approches de la gestion
de la continuité d’activité. La gestion de la continuité d’activité des autorités
financières devrait aussi englober la manière de répondre à une perturbation
opérationnelle majeure qui affecte les opérations des acteurs de l’industrie financière
ou le système financier dont elles sont responsables.
28.
Major operational disruptions pose a substantial risk to the continued operation of
financial industry participants and financial authorities, as well as to the operation of the
financial system. Accordingly, all financial industry participants and financial authorities
should incorporate the risk of a major operational disruption in their business continuity
plans. The extent to which a financial industry participant prepares to recover from a major
operational disruption should be based on its unique characteristics and risk profile. Because
29/75
access to the resources needed for the full recovery of its operations may be limited during a
major operational disruption, a financial industry participant should identify through a
business impact analysis those business functions and operations that are to be recovered
on a priority basis and establish appropriate recovery objectives for those operations.
28.
Les perturbations opérationnelles majeures créent un risque substantiel pour le
fonctionnement continu des acteurs de l’industrie financière et des autorités financières,
aussi bien que pour celui du système financier. En conséquence, tous les acteurs de
l’industrie financière et les autorités financières devraient incorporer le risque d'une
perturbation opérationnelle majeure dans leurs plans de continuité d’activité. La manière
dont un acteur de l’industrie financière se prépare pour se remettre d'une perturbation
opérationnelle majeure devrait être basée sur ses caractéristiques propres et son profil de
risque. Parce que l'accès aux ressources nécessaires pour la pleine reprise de ses
opérations peut être limité pendant une perturbation opérationnelle majeure, un acteur de
l’industrie financière devrait identifier par une analyse d'impact sur l’activité les fonctions et
opérations qui doivent être prioritairement reprises et établir des objectifs de reprise pour ces
opérations.
29.
During a major operational disruption, the operation of the financial system will be of
keen importance nationally and, possibly, globally. A financial authority will be expected to
play a major role in monitoring the status of the financial markets and financial industry
participants for which it is responsible. Depending on its mandate, a financial authority might
also be expected to coordinate efforts to recover critical services to the financial system.
29.
Pendant une perturbation opérationnelle majeure, le fonctionnement du système
financier aura une importance aiguë tant sur le plan national que probablement au plan
mondial. Une autorité financière est censée jouer un rôle majeur dans le contrôle de la
situation des marchés financiers et des acteurs de l’industrie financière dont elle est
responsable. Selon son mandat, une autorité financière peut également être amenée à
coordonner les efforts de reprise des services critiques du système financier.
30.
Major operational disruptions vary in intensity, scope and duration. In many cases,
organisations may be able to remain at their primary business locations if they have sufficient
backup for power and other essential services. Recent experience, however, has
demonstrated that some major operational disruptions constitute extreme events whose
impact can be very broad in scope, duration or both. In evaluating whether their own
business continuity management is sufficient to accommodate such major operational
disruptions, financial industry participants and financial authorities should review the
adequacy of their recovery arrangements in the following three important areas.
30.
Les perturbations opérationnelles majeures varient en intensité, en étendue et en
durée. Dans de nombreux cas, les organisations peuvent être capables de rester sur leur
emplacement primaire si elles ont suffisamment de secours pour leur alimentation en énergie
et autres services essentiels. Toutefois, l'expérience récente a montré que certaines
perturbations opérationnelles majeures constituent des événements extrêmes dont l'impact
peut être très large, en étendue, en durée ou les deux à la fois. Dans leur évaluation pour
savoir si leur propre gestion de continuité d’activité est suffisante pour supporter de telles
perturbations opérationnelles majeures, les acteurs de l’industrie financière et les autorités
financières devraient passer en revue l'adéquation de leurs dispositifs de reprise selon les
trois importants domaines suivants.
•
30
First, an organisation should take care that its alternate site is sufficiently remote from
its primary business location, and, where possible does not depend on the same
physical infrastructure components. This minimises the risk that both could be
affected by the same event. For example, the alternate site should ideally be on a
different power grid and central telecommunication circuit from the primary business
location.
•
Premièrement, une organisation devrait s’assurer que son site alternatif soit
suffisamment éloigné de son emplacement primaire, et, lorsque c’est possible, ne
dépende pas des mêmes composants d'infrastructure physique. Cela réduit au
minimum le risque de voir les deux sites affectés par le même événement. Par
exemple, le site alternatif devrait idéalement être sur un réseau d’énergie et un circuit
de télécommunication différents de l'emplacement primaire.
•
Second, an organisation should consider whether the alternate site would have
sufficient current data and the necessary equipment and systems to recover and
maintain critical operations and services for a sufficient period of time in the event
that its primary offices are severely damaged or access to the affected area is
restricted.
•
Deuxièmement, une organisation devrait vérifier si le site alternatif dispose de
données actualisées suffisantes ainsi que de l'équipement et des systèmes
nécessaires pour récupérer et entretenir les opérations et services critiques pendant
un laps de temps suffisant au cas où ses bureaux primaires seraient sévèrement
endommagés et l'accès au secteur affecté limité.
•
Third, given that staff at the primary business location are likely to be unavailable, the
business continuity plan should address how the organisation will provide sufficient
staff – in terms of number and expertise – to recover critical operations and services
consistent with its recovery objectives. Some approaches to ensuring that sufficient
staff are available at alternate sites include, for example: specific plan to source staff
from multiple locations; locating staff at alternate sites on a permanent basis (eg in
the case of load-sharing); cross-training employees at alternate sites or from other
locations; ensuring that a percentage of employees deemed essential to meeting
recovery objectives are located away from the primary business location at any given
time; and hiring employees who live at the outer edges of typical commuting ranges
from the primary business location.
•
Troisièmement, étant donné que le personnel de l'emplacement primaire peut être
indisponible, le plan de continuité d’activité devrait prévoir de quelle manière
l'organisation fournira le personnel suffisant - en termes d’effectif et d'expertise - pour
reprendre les opérations et services critiques compatibles avec ses objectifs de
reprise. Parmi les pistes pour s’assurer que le personnel suffisant sera disponible sur
les sites alternatifs figurent, par exemple : des solutions spécifiques pour trouver du
personnel à différents endroits ; la localisation de personnels sur les sites alternatifs
d’une manière permanente (c’est le cas d’un partage de charges) ; à travers une
formation des employés aux sites alternatifs ou à d'autres emplacements ; en
s’assurant qu'un pourcentage d'employés qui sont considérés comme essentiels pour
l’atteinte des objectifs de reprise sont domiciliés de manière permanente loin de
l'emplacement primaire ; enfin l’embauche d’employés qui vivent aux limites de la
zone de déplacement liée à l'emplacement primaire.
31/75
Principle 3: Recovery objectives
Principe 3 : Objectifs de reprise
Financial industry participants should develop recovery objectives that reflect the risk
they represent to the operation of the financial system. As appropriate, such recovery
objectives may be established in consultation with, or by, the relevant financial
authorities.
Les acteurs de l’industrie financière devraient développer les objectifs de reprise qui
reflètent le risque que ces acteurs représentent pour le fonctionnement du système
financier. Si nécessaire, de tels objectifs de reprise peuvent être établis en
concertation avec, ou par, les autorités financières appropriées.
31.
A financial industry participant that experiences a major operational disruption might
affect the ability of other financial industry participants – and possibly the financial system –
to continue normal business operations. Accordingly, financial industry participants should
consider the extent to which they pose such a risk and augment their business continuity
management where they determine that a disruption of their operations would affect the
operation of the broader financial system. Relevant financial authorities are encouraged to
provide guidance that would assist financial industry participants in making this assessment.
Examples include a payment and settlement system operator on which financial industry
participants depend to process and complete transactions – particularly where there are no
others capable of substituting for that operator – or financial industry participants that play a
significant role in providing financial services within a particular region.
31.
Un acteur de l’industrie financière qui subit une perturbation opérationnelle majeure
peut affecter la capacité d'autres acteurs de l’industrie financière - et probablement celle du
système financier - à continuer leurs opérations courantes. En conséquence, les acteurs de
l’industrie financière devraient évaluer dans quelle mesure ils créent un tel risque et renforcer
leur gestion de la continuité d’activité lorsqu’ils déterminent qu’une perturbation de leurs
opérations affecterait le système financier. Les autorités financières concernées sont
encouragées à fournir les conseils qui aideraient les acteurs de l’industrie financière à la
réalisation de cette évaluation. Les exemples incluent les opérateurs de système de
paiement et de règlement dont dépendent des acteurs de l’industrie financière pour traiter et
clore leurs transactions - particulièrement s’il n'y a aucun substitut à cet opérateur - et les
acteurs de l’industrie financière qui jouent un rôle significatif dans la fourniture de services
financiers dans une région particulière.
32.
Financial industry participants should establish recovery objectives that are
proportionate to the risk they pose to the operation of the financial system. The board and
senior management are ultimately accountable for the organisation’s recovery objectives
although in practice recovery objectives that apply to individual business lines are developed
initially by, or in consultation with, business line management. Financial authorities are
encouraged to participate in the identification of recovery objectives where such a role is
consistent with an authority’s mandate. The highest recovery objectives typically should be
reserved for those financial industry participants that are most likely to disrupt the financial
system in the event of a major operational disruption because of the critical services they
provide or their significance to the financial system in which they operate. For example,
critical market participants might reasonably be held to a within-the-day-of-disruption
32
recovery time objective, in the case of a major operational disruption resulting from discrete
events10, and generally be expected not only to recover critical operations and services but
also to resume normal business in those areas within the same timeframe. It may be
acceptable for other participants to target a less stringent recovery time depending on the
impact a disruption of their operations would have on the financial system or on the
expectations of other financial industry participants. In assessing the reasonableness of an
organisation’s recovery objectives, financial authorities are strongly encouraged to consider
the increased risk of failed transactions, liquidity dislocations, solvency problems, and loss of
confidence that accompany prolonged disruptions in the financial system.
32.
Les acteurs de l’industrie financière doivent établir des objectifs de reprise
proportionnés au risque qu'ils représentent pour le fonctionnement du système financier.
L’Organe délibérant et la Direction générale sont, au final, responsables des objectifs de
reprise de l'organisation, bien que, en pratique les objectifs de reprise qui s’appliquent à une
ligne de métier particulière soient déterminés par, ou en consultation avec, les responsables
de cette ligne de métier. Les autorités financières sont encouragées à participer à
l'identification des objectifs de reprise, là où un tel rôle est compatible avec leur mandat. Les
objectifs de reprise les plus élevés devraient typiquement être réservés aux acteurs de
l’industrie financière qui ont la plus forte probabilité de perturber le système financier en cas
de perturbation opérationnelle majeure, à cause des services critiques qu'ils fournissent ou
de leur importance dans le système financier où ils exercent. Par exemple, les acteurs
critiques du marché pourraient raisonnablement être tenus en termes d'objectif de délai à
une reprise dans la journée dans le cas d’une perturbation opérationnelle majeure résultant
d’un événement ponctuel, et généralement non seulement pour les opérations et les services
critiques mais aussi pour restaurer leur activité habituelle dans ces domaines dans la même
période. Il peut être acceptable pour d'autres participants de retenir un objectif de délai de
reprise moins rigoureux en fonction de l'impact que la perturbation de leurs opérations aurait
sur le système financier ou sur les attentes des autres acteurs de l’industrie financière. Dans
l'évaluation du caractère approprié des objectifs de reprise d'une organisation, les autorités
financières sont fortement encouragées à considérer le risque accru d’échecs de
transactions, de manques de liquidité, de problèmes de solvabilité et de perte de confiance
qui accompagnent des ruptures prolongées dans le système financier.
33.
Recovery objectives should identify expected recovery levels and recovery times for
specific activities. Although they may not be achievable in every circumstance, recovery
objectives provide financial industry participants with benchmarks for testing the
effectiveness of their business continuity management. They also provide some assurance
that financial industry participants representing similar external risks will attain a consistent
level of resilience. When identifying recovery objectives, it would also be appropriate to
identify appropriate timeframes for implementing those objectives.
33.
Les objectifs de reprise doivent définir les niveaux de reprise attendus et les délais
de reprise pour des activités spécifiques. Bien qu'ils ne puissent pas être réalisables en
toutes circonstances, les objectifs de reprise fournissent aux acteurs de l’industrie financière
des points de référence pour évaluer l'efficacité de leur gestion de la continuité d’activité. Ils
10
The concept of within-the-day-of-disruption recovery may not be as applicable in the case of events such as a pandemic
whose duration may stretch to weeks as opposed to a day or less. Even in those cases, however, the general expectation
that certain financial industry participants would target higher recovery objectives would continue to be relevant. Le concept
de la reprise en cours de journée suite à une perturbation peut ne pas être applicable en cas d’événements comme une
pandémie dont la durée peut s’étendre sur des semaines et non sur un jour ou moins. Même dans ces cas, toutefois,
l’attente générale que certains acteurs de l’industrie financière visent des objectifs de reprise très élevés continue d’être
valide.
33/75
fournissent aussi une certaine assurance que les acteurs de l’industrie financière,
représentant des risques externes semblables, atteindront un niveau cohérent de résilience.
Tout en définissant des objectifs de reprise, il serait aussi opportun de déterminer les
calendriers appropriés de mise en oeuvre de ces objectifs.
Principle 4: Communications
Principe 4 : Communications
Financial industry participants and financial authorities should include in their
business continuity plans procedures for communicating within their organisations
and with relevant external parties in the event of a major operational disruption.
Les acteurs de l’industrie financière et les autorités financières devraient inclure dans
leurs plans de continuité d’activité les procédures de communication au sein de
leur organisation et avec des parties externes concernées en cas de perturbation
opérationnelle majeure.
34.
The ability to communicate effectively with relevant internal and external parties in
the event of a major operational disruption is essential for financial industry participants and
financial authorities alike. Particularly in the early stages of a disruption, effective
communication is necessary to gauge the impact of the disruption – on an organisation’s
staff and operations, and on the broader financial system – and make appropriate decisions
about whether to invoke a business continuity plan. As time progresses, the ability to
communicate the best available information to the appropriate parties in a timely fashion is
critical to the recovery of an organisation’s operations and to the return of the broader
financial system to normal operation. Maintaining public confidence, whether in an individual
financial industry participant or in the financial system as a whole, requires clear, regular
communication throughout the duration of a major operational disruption.
34.
La capacité à communiquer efficacement avec des parties internes et externes
concernées en cas de perturbation opérationnelle majeure est essentielle, tant pour les
acteurs de l’industrie financière que pour les autorités financières. Particulièrement dans les
premiers moments d’une perturbation, une communication efficace est nécessaire pour en
mesurer l'impact - en personnel et activité de l’organisation et sur le système financier plus
largement - et prendre la décision appropriée de déclencher ou non le plan de continuité
d’activité. Ensuite, la capacité à communiquer la meilleure information disponible, dans des
délais raisonnables, aux parties concernées est critique pour la reprise des opérations de
l’organisation et pour le retour à la normale du système financier dans son ensemble. Le
maintien de la confiance publique, à la fois dans un acteur de l’industrie financière particulier
ou dans l’ensemble du système financier, exige une communication claire et régulière tout
au long de la durée d'une perturbation opérationnelle majeure.
35.
Accordingly, and also because of the added pressure that is often associated with
decision-making during a major operational disruption, the business continuity plans of
financial industry participants and financial authorities should incorporate comprehensive
emergency communication protocols and procedures. For example, a financial industry
participant would need to consider the external parties with whom it should communicate,
such as the relevant financial authorities, other financial industry participants, the public and
other stakeholders, as well as how best to communicate with them and within its own
organisation. It may also be necessary for a participant to obtain information from financial
authorities and other financial industry participants regarding the status of the financial
system, as well as from organisations that provide physical infrastructure services regarding
the status of any services required for the implementation of the participant’s business
34
continuity plan. A financial authority will need to consider similar issues, but its emergency
communication procedures should also reflect its broader responsibilities. For example, a
financial authority may want to consider issuing public statements during a crisis to assure
the markets and the public that appropriate measures are being taken and inform them of
those measures. In cases where financial authorities share oversight responsibilities for a
group comprising more than one financial industry participant, it may be beneficial for those
authorities to designate one from their midst as the "coordinator" for purposes of facilitating
communication during a major operational disruption affecting the group.11
35
En conséquence, et aussi à cause de la pression supplémentaire qui est souvent
associée au processus décisionnel pendant une perturbation opérationnelle majeure, les
plans de continuité d’activité des acteurs de l’industrie financière et des autorités financières
devraient incorporer des protocoles et procédures de communication d’urgence complets.
Par exemple, un acteur de l’industrie financière devrait déterminer les tierces parties avec
lesquelles il aura à communiquer, telles que les autorités financières appropriées, d’autres
acteurs de l’industrie financière, le public et d’autres partenaires, et aussi comment bien
communiquer avec elles et au sein de sa propre organisation. Il peut également être
nécessaire pour un acteur d'obtenir des informations de la part des autorités financières ou
d'autres acteurs de l’industrie financière quant à la situation du système financier ainsi que
de la part des organisations qui fournissent les infrastructures physiques sur l’état des
services requis pour la mise en place du plan de continuité d’activité des différents acteurs.
Une autorité financière devra pendre en compte les mêmes questions, mais ses procédures
de communication de secours devraient aussi refléter ses responsabilités plus larges. Par
exemple, une autorité financière peut envisager de faire des déclarations publiques pendant
une crise, pour assurer aux marchés et au public que des mesures appropriées sont prises
et les informer sur ces dernières. Dans les cas où les autorités financières partagent la
responsabilité de supervision d’un groupe comprenant plus d’un acteur de l’industrie
financière, il peut être bénéfique pour ces autorités financières de désigner en leur sein un
« coordinateur » dans le but de faciliter les échanges pendant une perturbation
opérationnelle majeure qui affecterait le groupe11.
36.
The communication procedures of financial industry participants and financial
authorities generally should:
36.
Les procédures de communication des acteurs de l’industrie financière et des
autorités financières devraient généralement :
•
Identify those responsible for communicating with staff and various external
stakeholders. This group might include senior management, public affairs staff, legal
and compliance advisors, and staff responsible for the organisation’s business
continuity procedures. This group should be able to communicate with personnel
located at isolated sites, dispersed across multiple locations, or otherwise away from
the primary business location;
Identifier les personnes en charge de communiquer avec le personnel et divers
partenaires externes. Ce groupe pourrait inclure la Direction générale, le personnel
des relations publiques, les juristes et les conseillers en conformité ainsi que le
personnel responsable des procédures de continuité d’activité de l'organisation. Ce
groupe devrait être capable de communiquer avec le personnel localisé dans des
11
For a more in-depth discussion of the “coordinator” concept, see Coordinator Paper, Joint Forum, February 1999
(http://www.bis.org/publ/joint02.pdf#page=105). Pour un approfondissement du concept de “coordinateur” voir le
Coordinator Paper du Forum Tripartite de février 1999 (http://www.bis.org/publ/joint02.pdf#page=105).
35/75
sites isolés, répartis sur plusieurs emplacements ou éloignés de l'implantation
primaire ;
•
Build on any communication protocols that already exist within the financial system
and include contact information for relevant domestic financial authorities and
financial industry participants to facilitate an assessment of the condition of the
financial system and coordinate recovery efforts. Examples of existing
communication protocols might include conference call schedules developed by
financial sector trade associations or financial authority working groups and bilateral
communication procedures between major international exchanges. In addition,
consideration should be given to including contact information for officials with local
emergency response organisations where critical facilities are located;
Se fonder sur tout protocole de communication qui existe déjà dans le système
financier et incluant des listes de contacts auprès des autorités financières
nationales appropriées et auprès des acteurs de l’industrie financière pour faciliter
une évaluation de la situation du système financier et pour coordonner les efforts de
reprise. Les exemples de protocoles de communication existants pourraient inclure
des prévisions de conférences téléphoniques développées par des associations
professionnelles du secteur financier ou par les groupes de travail des autorités
financières ainsi que des procédures de communication bilatérales entre les
principaux contacts internationaux. De plus, une information devrait être prévue sur
les contacts avec les services de secours d’urgence là où les ressources critiques
sont localisées ;
•
Address related issues that can arise during a major operational disruption, such as
how to respond to failures in primary communication systems. This could include, for
example, developing systems and contact information for key personnel that would
facilitate multiple methods of communicating (eg digital and analogue land line
phones, mobile phones, satellite phones, text messaging, websites, hand-held
wireless devices, etc);
Traiter des questions connexes qui peuvent surgir pendant une perturbation
opérationnelle majeure, comme la façon de surmonter des échecs dans des
systèmes de communication primaires. Cela pourrait conduire, par exemple, à
développer des systèmes et des listes de contacts pour le personnel clef qui
faciliterait l’usage de moyens multiples de communication (ex : des téléphones fixes
digitaux et analogiques, des téléphones portables, des téléphones satellitaires, la
messagerie de texte, des sites Web, des dispositifs à main sans fil, etc.) ;
•
In the case of financial authorities, include, as appropriate, contact information for
national or regional protection and intelligence agencies and other relevant
governmental authorities. These arrangements may require the use of secure
communications using specialised “secure” telephones, faxes, and emails; and,
S’agissant des autorités financières, inclure en tant que de besoin, des informations
relatives aux contacts avec les services de protection locaux ou nationaux et avec
les services de renseignements ou autres pouvoirs publics concernés. Ces
dispositions peuvent exiger l'utilisation de communications sûres utilisant des
téléphones, des télécopies ou messageries électroniques spécialement sécurisées ;
•
Provide for the regular updating of calling trees and other contact information and
the periodic testing of calling trees.
Fournir de quoi réaliser la mise à jour régulière d’arborescences d’appels et autres
points de contact ainsi que le test périodique des arborescences d’appels.
36
Principle 5: Cross-border communications
Principe 5 : Communications internationales
Financial industry participants’ and financial authorities’ communication procedures
should address communications with financial authorities in other jurisdictions in the
event of major operational disruptions with cross-border implications.
Les procédures de communication des acteurs de l’industrie financière et des
autorités financières devraient inclure les communications à établir avec des autorités
financières dans d'autres juridictions en cas de perturbations opérationnelles
majeures avec des implications internationales.
37.
Because of the deepening interdependencies among financial industry participants
across jurisdictions, it is increasingly likely that the impact of a major operational disruption
will extend across national borders. Addressing disruptions that cross national borders
introduces additional complexity. Although domestic communication procedures may be
reasonably well-defined in the business continuity plans of many financial industry
participants and financial authorities, special attention is warranted in preparing for
disruptions with international scope.
37.
À cause des interdépendances croissantes entre les acteurs de l’industrie financière
à travers les pays, il est de plus en plus probable que l'impact d'une perturbation
opérationnelle majeure s’étendra au-delà des frontières nationales. La prise en compte des
perturbations traversant des frontières nationales introduit une complexité supplémentaire.
Bien que des procédures de communication nationales puissent être raisonnablement bien
définies dans les plans de continuité d’activité de beaucoup d’acteurs de l’industrie financière
et des autorités financières, une attention spéciale est requise dans la prévention des
perturbations présentant une dimension internationale.
38.
Financial industry participants should consider the possibility that a disruption of
their business operations in one jurisdiction would affect significant subsidiary or branch
operations or otherwise affect the financial system in other jurisdictions. Where this outcome
is possible, a financial industry participant’s communication protocols should address the
circumstances under which it would contact the relevant non-domestic financial authorities.
Financial authorities should incorporate communication protocols in their business continuity
plans for communicating with financial authorities in other jurisdictions in the event of a major
operational disruption that affects (or could affect) the continued operation of the international
financial system. Although it was developed to address financial crises and not business
continuity events, per se, the Memorandum of Understanding on co-operation between the
Banking Supervisors, Central Banks and Finance Ministries of the European Union in
Financial Crisis situations (2005)12 provides a useful example of what such communication
protocols might entail. It comprises a set of principles and procedures for sharing information,
views and assessments among the authorities potentially involved in a crisis situation, as
well as arrangements for the development of contingency plans for the management of crisis
situations and stress testing and simulation exercises.
38.
Les acteurs de l’industrie financière devraient prendre en compte la possibilité
qu'une perturbation de leurs opérations dans un pays affecte significativement les opérations
12
The MOU is a confidential document and is not available to the general public. The press release that accompanied the
MOU’s publication in May 2005 includes information about its objectives, contents and signatories. Le MOU est un
document confidentiel et n'est pas disponible pour le grand public. Le communiqué de presse qui a accompagné la
publication du MOU en mai 2005 donne des informations sur ses objectifs, son contenu et les signataires.
37/75
d’une filiale ou succursale, ou affecte d’une autre manière le système financier dans d'autres
pays. Là où ce résultat est possible, les protocoles de communication d'un acteur de
l’industrie financière devraient traiter les circonstances dans lesquelles il faudrait entrer en
contact avec les autorités financières étrangères appropriées. Les autorités financières
devraient incorporer des protocoles de communication dans leurs plans de continuité
d’activité pour communiquer avec les autorités financières dans d'autres pays en cas de
perturbation opérationnelle majeure qui affecte (ou pourrait affecter) le fonctionnement
continu du système financier international. Bien qu'il ait été développé pour traiter des crises
financières et non des événements de continuité d’activité, le Memorandum sur la
coopération entre les Superviseurs Bancaires, les Banques centrales et les Ministères de
Finances de l'Union européenne dans des situations de Crise financière (2005)12 illustre les
avantages que peuvent procurer de tels protocoles de communication. Il comprend un jeu de
principes et des procédures pour partager l'information, les point de vues et les évaluations
entre les autorités potentiellement impliquées dans une situation de crise, aussi bien que des
dispositions pour le développement de plans d'urgence pour la gestion de situations de crise,
et des exercices de simulation et de test.
39.
These communication protocols should build on existing cross-border relationships
and multi-jurisdictional protocols by identifying the types of officials at financial authorities
who might need to be involved in responding to such disruptions and including the relevant
contact information. Examples of existing contact lists include the Crisis Management
Contact List maintained by the Financial Stability Forum covering central banks, supervisory
agencies, finance and treasury departments, and key international financial institutions in
some 30 countries and the Bank Supervisors’ Contact List maintained by the BCBS listing
supervisory contacts around the world.13 It is likely that communication with financial
authorities in other jurisdictions would take place at several levels simultaneously, with senior
decision-makers and more technical or specialised staff members in one organisation
holding discussions with their respective counterparts at the other.
39.
Ces protocoles de communication devraient être fondés sur les relations
internationales existantes et sur les protocoles multi-États en déterminant les catégories
d’agents des autorités financières qui devraient pouvoir être associées aux réponses lors de
telles perturbations et inclure la liste des contacts associés. Les exemples de listes de
contacts existantes incluent la Liste de Contacts de Gestion de Crise développée et mise à
jour par le Forum de Stabilité Financière, qui concerne les banques centrales, les institutions
de supervision, les ministères de l'Économie et des Finances et les institutions financières
internationales clefs dans environ 30 pays, et la Liste de Contacts des Superviseurs
Bancaires entretenue par le BCBS contenant des contacts de superviseurs dans le monde
entier13. Il est probable que la communication avec les autorités financières dans d'autres
pays s’établirait à plusieurs niveaux simultanément, avec des cadres supérieurs, d’une part,
et des employés plus techniciens ou spécialisés, d’autre part.
40.
Financial authorities, in particular, are encouraged to hold periodic discussions with
relevant financial authorities in other jurisdictions to develop a shared understanding of the
events that could have significant cross-border effects on the financial system and agree on
procedures for communicating with one another under such circumstances and the issues
that should be addressed. The issues that might be covered in the event of cross-border
disruptions would include, for example, the impacts of the disruption in their respective
markets and its contagion effects, if any; issues involving emergency closures or
13
38
These contact lists are prepared for their respective constituencies and are not available to the general public. Ces listes de
contact sont préparées pour leurs juridictions respectives et ne sont pas disponibles pour le grand public.
suspensions of major markets; changes in trading hours or clearing and settlement periods;
and, the details of any regulatory forbearance that may have been extended.
40.
En particulier, les autorités financières sont encouragées à tenir des discussions
périodiques avec des autorités financières appropriées dans d'autres pays pour développer
une compréhension commune des événements qui pourraient avoir des effets internationaux
significatifs sur le système financier, pour convenir de procédures pour communiquer et
établir la liste des questions qui devront être traitées dans ces circonstances. Les questions
qui pourraient être couvertes en cas de perturbations internationales incluraient, par
exemple, les impacts de la perturbation sur leur marché respectif et ses effets de contagion,
le cas échéant ; les questions relatives aux fermetures d’urgence ou aux suspensions de
marchés principaux ; les changements dans les horaires d’ouverture ou dans les périodes de
compensation ou de règlement ; et les détails de n'importe quelle initiative prudentielle qui
pourrait être étendue.
Principle 6: Testing
Principe 6 : Tests
Financial industry participants and financial authorities should test their business
continuity plans, evaluate their effectiveness, and update their business continuity
management, as appropriate.
Les acteurs de l’industrie financière et les autorités financières devraient, de manière
appropriée, tester leurs plans de continuité d’activité, évaluer leur efficacité et mettre
à jour leur gestion de la continuité d’activité.
41.
Testing the ability to recover critical operations as intended is an essential
component of effective business continuity management. Such testing, which can take many
forms, should be conducted periodically, with the nature, scope and frequency determined by
the criticality of the applications and business functions, the organisation’s role in broader
market operations, and material changes in the organisation’s business or external
environment. In addition, such testing should identify the need to modify the business
continuity plan and other aspects of an organisation’s business continuity management. In
some cases, this need could arise as a result of changes in its business, responsibilities,
systems, software, hardware, personnel, or facilities or the external environment. An
independent party, such as internal or external audit, should assess the effectiveness of the
organisation’s testing programme, review test results and report their findings to senior
management and the board. Senior management and the board should ensure that any gaps
or shortcomings reported to them are addressed in an appropriate and timely manner.
41.
Tester la capacité à reprendre les opérations critiques comme souhaité est une
composante essentielle de gestion efficace de la continuité d'activité. Un tel test, qui peut
prendre des formes multiples, devrait être conduit périodiquement, avec une nature, une
portée et une fréquence déterminées en fonction de la criticité des applications et des
fonctions, du rôle de l'organisation dans des opérations plus larges du marché et en fonction
des changements significatifs survenus dans l’organisation ou dans l'environnement externe.
De plus, un tel test devrait révéler le besoin de modifier le plan de continuité d’activité et
d'autres aspects de la gestion de continuité d’activité d'une organisation. Dans certains cas
le besoin peut résulter de changements dans les activités, les responsabilités, les systèmes,
les logiciels, les matériels, le personnel, des équipements ou l'environnement externe. Une
partie indépendante, comme l'audit interne ou externe, devrait évaluer l'efficacité du
programme de test de l'organisation, analyser les résultats et informer l’Organe délibérant et
la Direction générale de ses conclusions ou constats. L’Organe délibérant et la Direction
générale doivent s’assurer que n'importe quels manques ou défauts qui leur sont rapportés
sont corrigés dans une façon appropriée et planifiée.
39/75
42.
Financial authorities should strongly encourage financial industry participants that
present risk to the financial system to conduct tests from their alternate sites with relevant
critical market participants and payment and settlement system operators. Financial
authorities and key financial industry participants are also encouraged to participate in
market- or industry-wide tests to assess the level of resilience across markets and the
compatibility of the recovery strategies of individual participants. In light of the substantial
costs involved, the decision to undertake a market- or industry-wide test should be based on
a thorough cost-benefit analysis.
42.
Les autorités financières devraient fortement encourager les acteurs de l’industrie
financière qui présentent un risque pour le système financier à conduire des tests de leurs
sites alternatif avec les acteurs critiques des marchés et les opérateurs des systèmes de
paiement et de règlement. Les autorités financières et les acteurs de l’industrie financière
clefs sont aussi encouragés à participer à des tests au niveau d’un marché ou de toute
l'industrie, pour évaluer le niveau de résilience à travers les marchés et la compatibilité des
stratégies de reprise des participants individuels. Á la lumière des dépenses substantielles
qui en découlent, la décision d'entreprendre le test au niveau d’un marché, ou de toute
l'industrie, devrait être basée sur une analyse minutieuse coûts / bénéfices.
43.
In addition to ensuring that business continuity plans are evaluated and updated as
necessary, testing is also essential for promoting awareness, familiarity and understanding
among key personnel of their roles and responsibilities in the event of a major operational
disruption. It is important, therefore, that testing programmes should involve all personnel
who are likely to be involved in responding to major operational disruptions.
43.
Outre l'assurance qu’il donne que les plans de continuité d’activité sont évalués et
mis à jour autant que nécessaire, le test est aussi l'élément essentiel pour sensibiliser, pour
familiariser le personnel clé et lui faire comprendre son rôle et ses responsabilités en cas de
perturbation opérationnelle majeure. Il est donc important que des programmes de tests
englobent tout le personnel qui serait probablement associé à la réaction à une perturbation
opérationnelle majeure.
Principle 7: Business continuity management reviews by financial authorities
Principe 7 : Vérification de la gestion de continuité d’activité par les autorités
financières
Financial authorities should incorporate business continuity management reviews into
their frameworks for the ongoing assessment of the financial industry participants for
which they are responsible.
Les autorités financières devraient incorporer des vérifications de la gestion de
continuité d’activité dans leurs programmes de contrôle courant des acteurs de
l’industrie financière dont elles sont responsables.
44.
Financial authorities should expect financial industry participants to develop and
implement effective business continuity management that is updated on an ongoing basis.
Financial authorities should incorporate business continuity management reviews into their
frameworks for the assessment of financial industry participants. The nature, scope and
frequency of the reviews will be determined by the requirements of their regulatory or
supervisory frameworks. Assessments should give due consideration to whether a
participant’s business continuity management, including its recovery objectives, is
appropriate for the size and scope of its business and the risk the participant presents to the
continued operation of the financial system. Financial authorities should also assess whether
40
participants are taking appropriate steps to augment their business continuity management,
where necessary. Where financial authorities share responsibility for the same financial
industry participant, it would be useful for those authorities to agree on a framework for
coordinating those reviews.
44.
Les autorités financières devraient attendre des acteurs de l’industrie financière
qu’ils développent et mettent en oeuvre une gestion efficace de la continuité d’activité, mise
à jour de manière continue. Les autorités financières devraient incorporer des vérifications
de la gestion de continuité d’activité dans leurs programmes de contrôle des acteurs de
l’industrie financière. La nature, la portée et la fréquence des vérifications seront décidées
selon les exigences de leurs programmes de régulation et de supervision. Les évaluations
devraient particulièrement apprécier si la gestion de la continuité d’activité d'un
établissement, y compris ses objectifs de reprise, est appropriée à la taille et à la portée de
son activité et au risque qu’il fait courir au fonctionnement continu du système financier. Les
autorités financières devraient aussi évaluer si les établissements définissent bien les étapes
appropriées pour améliorer leur gestion de continuité d’activité, lorsque c’est nécessaire. Là
où des autorités financières partagent la responsabilité de supervision d’un même acteur de
l’industrie financière, il serait utile que ces autorités conviennent d'un cadre de travail pour
coordonner les vérifications.
45.
In the course of reviewing a participant’s business continuity management, a
financial authority should assess whether the testing programme provides adequate
assurance that business processes can be recovered as intended.
45.
Au cours d’une vérification de la gestion de la continuité d’activité d'un
établissement, l’autorité financière devrait évaluer si le programme de tests fournit une
assurance suffisante pour savoir si les processus commerciaux peuvent être repris comme
prévu.
41/75
Annex I Case Study: US-Canadian electrical
power grid outages in August 2003
Annexe IÉtude de cas : coupures des réseaux d’alimentation en énergie
électrique Américains-Canadiens en août 2003
Event
Événement
1.
On Thursday 14 August 2003, cascading failures of electrical power grids in the
northeast United States and most of eastern Ontario, Canada resulted in power outages that,
in some areas, lasted well into the weekend.
1.
Le jeudi 14 août 2003, des défaillances en cascade des réseaux d’alimentation en
énergie électrique dans le nord-est des États-unis et une grande partie de l'Ontario oriental
au Canada ont abouti à des coupures de courant qui, dans certains secteurs, ont duré
jusqu’au cours du week-end.
Impact
Impact
2.
Without warning, the grid failures shut down utility electrical power in financial
centres such as New York City and Toronto starting around 16:11 local time on 14 August.
Backup electrical power systems at securities exchanges, clearing organisations, and a large
number of financial industry participants in the affected areas were activated automatically,
enabling those organisations to avoid a sudden disruption in their systems or loss of
essential data. Because the outage occurred near the normal end of the business day and
perhaps because of initial uncertainties over whether the outage was the result of a terrorist
attack, people were sent home by their employers or otherwise chose to evacuate the New
York financial district – many left on foot because street traffic was jammed and mass transit
was largely inoperable. No panic was evident, however, perhaps as a result of public
statements by local and federal officials within an hour of the start of the event that there was
no evidence that the power outage was terrorist-related. The financial system and its
participants were largely able to complete their end-of-day operations in an orderly fashion.
2.
Sans avertissement, les défaillances du réseau coupèrent l’alimentation en énergie
électrique dans des centres financiers comme New York et Toronto à partir de 16 H11
locale le 14 août. Les secours des systèmes d’énergie électrique de la bourse de valeurs,
des organismes de compensation et d’un grand nombre d’acteurs de l’industrie financière
dans les secteurs affectés ont été activés automatiquement, permettant à ces organisations
d'éviter une rupture soudaine dans leurs systèmes ou une perte des données essentielles.
Parce que la coupure de courant est arrivée près de la fin normale du jour ouvrable et peutêtre à cause des incertitudes initiales quant à une origine terroriste de la coupure de courant,
les personnels ont été renvoyés à la maison par leurs employeurs ou ont de toute manière
voulu évacuer la zone financière de New York – beaucoup la quittèrent à pied parce que le
trafic de la rue avait été bloqué et les moyens de transport de masse étaient en grande partie
inopérants. Aucune panique n'est apparue, pourtant, peut-être en raison des déclarations
publiques faites par des fonctionnaires locaux et fédéraux, dans la première heure du début
de l'événement, qu'il n'y avait aucune preuve que la coupure de courant fut liée au
terrorisme. Le système financier et ses participants ont été très généralement capables
d'achever leurs opérations de fin de journée d'une façon ordonnée.
42
3.
The electrical outage continued in New York City and Toronto overnight and into the
next day (15 August). Most major US and Canadian equity markets were able to maintain
normal trading hours that day, while bond markets held an abbreviated trading session to
allow traders more time to head home for the weekend. Wholesale and retail payments and
trading and settlements proceeded with only a few delays. The large majority of banks had
established backup power at larger branches and retail banking services were adequate to
meet consumer needs, although numerous stand-alone ATMs stopped functioning on
Thursday night. Individual bank branches that did not have backup power were closed on
Friday. In a few cases, all of a US rural bank’s operations were closed for all of Friday due to
lack of power.
3.
La coupure de courant électrique perdura à New York et à Toronto la nuit et le jour
suivant (le 15 août). La plupart des principaux marchés de capitaux américains et canadiens
étaient capables de maintenir des horaires d’échange normaux ce jour-là, tandis que les
marchés obligataires ont tenu une session d’échange abrégée pour laisser aux cambistes
plus de temps pour leurs affaires privées pendant le week-end. Les paiements de gros et de
détail, les échanges et les règlements se sont déroulés avec seulement un peu de retard. La
grande majorité des banques avaient activé les secours d’énergie pour leurs plus grandes
agences et les services bancaires de détail étaient suffisants pour répondre aux besoins du
grand public, bien que de nombreux distributeurs automatiques autonomes aient cessé de
fonctionner dans la nuit de jeudi à vendredi. Les agences des banques qui individuellement
n'avaient pas de secours électrique ont été fermées le vendredi. Dans quelques cas, toutes
les opérations d’une banque rurale américaine ont été interrompues tout le vendredi en
raison du manque d’énergie.
4.
The sector experienced some telecommunication problems related to the power
outage. Some of these problems affected entire telecommunication networks that had
insufficient backup power at some central office switches. In other cases, some firms found
that their backup electrical generators did not support their internal telephone systems,
rendering their digital telephones inoperable, while their analogue-line telephones (which
receive power over their land lines and bypass internal telecommunication switching
systems) continued to function. In addition, mobile phones soon became inoperable due to
message congestion, insufficient backup power at transmission and relay sites, and the
inability of individuals to recharge their mobile phones’ batteries.
4.
Le secteur a éprouvé quelques problèmes de télécommunication liés à la coupure
de courant. Certains de ces problèmes ont affecté des réseaux de télécommunication
entiers, ceux qui avaient une puissance de secours insuffisante sur quelques commutateurs
centraux de bureaux. Dans d'autres cas, quelques sociétés ont constaté que leurs
générateurs électriques de secours n'ont pas soutenu leurs systèmes téléphoniques
internes, rendant leurs téléphones digitaux inopérants, tandis que leurs téléphones sur ligne
analogique (qui reçoivent l’énergie sur leur ligne de terre et contournent les systèmes
internes de commutation) ont continué à fonctionner. De plus, les téléphones portables sont
bientôt devenus inopérants en raison de la congestion des échanges de messages, de la
puissance insuffisante du secours à la transmission et aux sites de relais et de l'incapacité
pour les individus de recharger les batteries de leurs téléphones portables.
5.
There were no discernable effects on consumer confidence in the US or Canadian
financial systems. On the whole, consumers were patient and proved able to cope with the
situation, including the temporary loss of access to local branches and ATM machines. There
were no unusual currency demands or runs on banks, nor were there any sell-offs in mutual
fund markets.
43/75
5.
Il n'y eut aucun effet discernable sur la confiance du grand public dans les systèmes
financiers US et Canadiens. Dans l'ensemble, les consommateurs furent patients et
prouvèrent qu’ils étaient capables de faire face à la situation, y compris à la perte provisoire
d'accès aux agences locales et aux distributeurs bancaires. Il n'y eut aucune demande
inhabituelle de monnaie ou de ruée sur des banques, ni solde de comptes sur le marché des
fonds commun de placement.
Response
Réponse
6.
A number of financial industry participants, particularly organisations that support
payment and settlement systems, responded to the outage by activating their backup power
generators. Many also activated their alternate sites as a precautionary measure.
6.
Un certain nombre d’acteurs de l’industrie financière, particulièrement les
organisations qui gèrent les systèmes de paiement et de règlement, ont répondu à la
coupure de courant en activant leurs générateurs de secours. Plusieurs ont aussi activé leur
site alternatif par mesure de précaution.
7.
Many other organisations had provided for abundant backup power at their primary
sites as part of their business continuity plans and did not need to relocate because there
was no immediate threat to the safety of their personnel. Given the disruption of mass transit,
many of these organisations implemented plans to have key staff remain overnight at or near
their primary sites to ensure that critical operations could be maintained.
7.
Beaucoup d'autres organisations avaient prévu une abondante puissance de
secours sur leur site primaire dans leur plan de continuité d’activité et n'ont pas eu à se
transférer parce qu'il n'y avait aucune menace immédiate sur la sécurité de leur personnel.
Étant donné l’absence de transports de masse, beaucoup de ces organisations ont mis en
oeuvre des plans pour que le personnel clef reste la nuit sur, ou près de, leur site primaire
pour avoir l’assurance que des opérations critiques pourraient être maintenues.
8.
Some financial industry participants that chose not to activate their alternate sites
were subsequently confronted with unanticipated problems. For example, the American
Stock Exchange (Amex) did not activate its remote alternative trading floor because the
exchange’s primary trading floor appeared to have sufficient backup electrical power. At
around 2:00 on 15 August, however, utility-provided steam power to the air conditioning
systems that are essential for maintaining the exchange’s electronic systems began to fail at
Amex’s primary trading floor. By the time the problem was discovered, there was insufficient
time to activate and staff the alternate site (which was unaffected by the steam power failure
in Manhattan). Instead, Amex held an abbreviated trading session on 15 August after a
backup generator was located and installed.
8.
Quelques acteurs de l’industrie financière qui ont choisi ne pas activer leurs sites
alternatifs ont été par la suite confrontés à des problèmes imprévus. Par exemple, la Bourse
américaine (Amex) n'a pas activé sa salle des marchés alternative éloignée parce que la
salle des marchés primaire a semblé avoir une puissance électrique de secours suffisante.
Cependant, à environ 2 h du matin le 15 août, la puissance vapeur fournie pour les systèmes
de climatisation qui sont essentiels pour maintenir le fonctionnement des systèmes
électroniques d'échanges a commencé à manquer pour la salle des marchés primaire
d'Amex. Au moment où l’on a découvert le problème, il était trop tard pour activer et pourvoir
en personnel le site alternatif (qui n’était pas affecté par la rupture de l’alimentation en
puissance vapeur de Manhattan). Au lieu de cela, Amex tint une session d’échanges
abrégée le 15 août après qu'un générateur de secours eut été apporté et installé.
44
9.
US and Canadian financial authorities activated communication protocols with their
respective critical market participants and other domestic financial authorities. Financial
authorities conducted a series of calls with their affected institutions in the evening of
14 August and throughout 15 August to determine how they were coping with the outage and
whether they required assistance in maintaining critical operations. In addition, financial
authorities held a series of inter-agency conference calls throughout the event that provided
an opportunity for banking, securities, and futures regulators to share information on how
each sector was responding to the emergency.14
9.
Les autorités financières américaines et canadiennes activèrent des protocoles de
communication avec leurs acteurs critiques de marché respectifs et d'autres autorités
financières nationales. Les autorités financières procédèrent à une série d'appels vers leurs
établissements assujettis, en soirée du 14 août et pendant tout le 15 août, pour déterminer
comment ils feraient face à la coupure de courant et si elles réclameraient de l'aide pour le
maintien d'opérations critiques. De plus, les autorités financières organisèrent une série de
conférences téléphoniques entre les institutions pendant toute la durée de l'événement, ce
qui fournit une occasion aux régulateurs des banques, des valeurs et des marchés à terme
de partager l'information sur la manière dont chaque secteur répondait à la situation
d'urgence.14
10.
US financial authorities invited officials from the New York City Office of Emergency
Management (NYCOEM) to participate in conference calls with the exchanges and clearing
organisations about how this major financial centre was responding to the infrastructure
failure. In these calls, NYCOEM officials were able to provide vital information concerning the
status of local power, telecommunication, and transportation services and probable
restoration schedules. In addition, when NYCOEM officials learned of Amex’s problems with
utility-supplied steam power, NYCOEM officials were able to assist the exchange by
arranging for the installation of a backup steam generation boiler, which enabled Amex to
conduct an abbreviated trading session on 15 August.
10.
Les autorités financières américaines invitèrent des fonctionnaires du Bureau de
New York de Gestion des Secours (NYCOEM) à participer aux conférences téléphoniques
avec les organisations d’échanges et de compensations sur la manière dont ce grand centre
financier répondait à la défaillance de l'infrastructure. Par ces échanges téléphoniques, les
fonctionnaires du NYCOEM furent capables de fournir des informations essentielles
concernant la situation des sources d’énergie locale, des télécommunications et des services
de transport et sur les plannings de restauration probables. De plus, quand les fonctionnaires
NYCOEM apprirent les problèmes d'Amex avec la puissance vapeur, les fonctionnaires
NYCOEM furent capables d'apporter leur aide en prenant des dispositions pour l'installation
d'une chaudière de génération de vapeur de secours, qui permit à Amex de conduire une
session d’échange abrégée le 15 août.
14
Many large international exchanges have reciprocal communication protocols that are designed to share critical information
concerning developments at one exchange that might affect trading in products that are traded on other exchanges. For
example, following the events of 11 September 2001, officials at leading US exchanges kept their counterparts at
exchanges in Asia, Europe, and North and South America informed about when US trading was likely to resume. This was
not an issue during the 2003 power outage, however, because the NYSE and NASDAQ both issued news releases around
18:00 on 14 August indicating that they planned to trade normally the next day, thereby avoiding the need to call officials at
other international exchanges. Beaucoup de grandes places internationales ont des protocoles de communication
réciproques qui sont conçus pour partager l'information critique concernant des événements sur une place qui pourraient
affecter le négoce sur les produits qui se négocient sur d'autres places. Par exemple, après les événements du 11
septembre 2001, les fonctionnaires des principales bourses américaines ont tenu leurs contreparties d’Asie, d’Europe,
d’Amérique du Nord et du Sud informées du moment où les négociations aux États-unis allaient probablement reprendre.
Ce n'était pas un problème pendant la coupure de courant de 2003, parce que la Bourse de New York et le NASDAQ ont
toutes deux publié des communiqués autour de 18 H le 14 août indiquant la reprise des marchés le lendemain, évitant ainsi
d’avoir à appeler les officiels des autres places.
45/75
11.
Announcements made by national security officials and local government officials
shortly after the commencement of the outage may have contributed to consumer
confidence. Moreover, consumer confidence appears to have been strengthened by the fact
that the financial services sector, including highly visible organisations such as the stock
exchanges, remained largely operational.
11.
Les annonces faites par des fonctionnaires de sécurité nationale et des
fonctionnaires de l'administration locale peu de temps après le commencement de la
coupure de courant peuvent avoir contribué à la confiance du grand public. De plus, celle-ci
semble avoir été renforcée par le fait que le secteur des services financiers, y compris des
organisations fortement visibles comme les Bourses, était resté en grande partie
opérationnel.
Lessons learned
Leçons apprises
12.
Upon restoration of the power supply, financial authorities in the United States and
Canada analysed how they and their financial industry participants responded to the
challenges posed by this major operational disruption. Overall, these “lessons learned”
exercises indicated that:
12.
Sur la restauration de l'alimentation d'énergie, les autorités financières aux EtatsUnis et au Canada ont analysé comment elles et les acteurs de l’industrie financière ont
répondu aux défis posés par cette perturbation opérationnelle majeure. En général ces
exercices de " leçons apprises" ont indiqué que :
•
Business continuity plans and resilience appropriate to the risk that particular
financial industry participants pose to the financial system are paramount in
maintaining critical operations in the face of major operational disruptions such as
those arising from a massive infrastructure failure. (Principles 1, 2 and 3)
Les plans de continuité d’activité et la résilience, appropriés au risque que des
acteurs de l’industrie financière particuliers présentent pour le système financier,
sont primordiaux dans le maintien des opérations critiques face aux perturbations
opérationnelles majeures comme celles résultant d'une défaillance massive des
infrastructures (Principes 1, 2 et 3)
•
Business continuity plans benefit from incorporating a broad view of the potential
impacts of a major operational disruption, including the loss of components of the
physical infrastructure that may not have been experienced previously. Thorough
testing of procedures and systems is useful in identifying and addressing otherwise
unanticipated problems with critical operations during a major operational disruption
(eg the failure at some firms to have sufficient backup power to support their
telecommunication systems and Amex’s assumption that its steam power supplies
would not be interrupted in an electrical power outage). (Principles 2 and 6)
Les plans de continuité d’activité ont intérêt à adopter une vision large des impacts
potentiels d'une perturbation opérationnelle majeure, y compris la perte des
composants de l'infrastructure physique qui peut ne pas avoir été éprouvée
précédemment. Le test minutieux des procédures et des systèmes est utile pour
identifier et traiter des problèmes qui autrement resteraient imprévus sur des
opérations critiques pendant une perturbation opérationnelle majeure (ex : l'échec
de quelques sociétés à disposer d’une puissance suffisante de secours pour
maintenir leurs systèmes de télécommunication et la supposition d'Amex que son
approvisionnement en puissance vapeur ne serait pas interrompu durant la coupure
de courant électrique). (Principes 2 et 6)
46
•
In view of the importance of effective communications during a major operational
disruption, financial industry participants and financial authorities would be wise to
anticipate that such disruptions might affect telecommunication systems. In-house
telecommunications systems and wireless transmitters on buildings should have
backup power. Redundant systems, such as analogue line phones and satellite
phones, and other simple measures, such as ensuring the availability of extra
batteries for mobile phones, may prove essential to maintaining communications in
a wide-scale infrastructure failure. (Principle 4)
Au vu de l'importance de communications efficaces pendant une perturbation
opérationnelle majeure, les acteurs de l’industrie financière et les autorités
financières seraient avisées de prévoir que de telles ruptures pourraient affecter des
systèmes de télécommunication. Des systèmes de télécommunications internes et
des émetteurs sans fil sur des bâtiments devraient disposer d’alimentation de
secours. Des systèmes redondants, comme des téléphones fixes analogiques et
des téléphones satellitaires et d'autres mesures simples, comme l'assurance de la
disponibilité de batteries supplémentaires pour des téléphones portables, peuvent
se révéler essentiels pour le maintien de communications durant la défaillance d’une
d'infrastructure d'envergure. (Principe 4)
•
Existing internal and external communication protocols were extremely useful in
managing the domestic implications of the outage for the financial systems in the
United States and Canada and facilitating and coordinating internal and external
information flows between domestic financial authorities and the local emergency
management officials responsible for the restoration of physical infrastructure.
Nonetheless, financial authorities in both jurisdictions recognised following postevent reviews that further consultations on appropriate communication protocols
would be useful to promote a common understanding of the type of disruption that
might trigger cross-border communications and the nature of information that might
be shared under such circumstances. (Principles 4 and 5)
Les protocoles de communication internes et externes existants ont été
extrêmement utiles dans la gestion des implications nationales de la coupure de
courant pour les systèmes financiers aux États-unis et au Canada et pour faciliter et
coordonner les flux internes et externes d'informations entre des autorités
financières nationales et les fonctionnaires locaux de gestion des secours
responsables de la restauration de l'infrastructure physique. Néanmoins, dans les
deux juridictions, les autorités financières ont reconnu, selon leur bilan d’après
événement, que de nouvelles consultations sur des protocoles de communication
appropriés seraient utiles pour promouvoir une compréhension partagée du type de
perturbation qui pourrait déclencher des communications internationales et sur la
nature des informations qui pourraient être partagées dans de telles circonstances.
(Principes 4 et 5)
•
Communication protocols enabled critical market participants and their financial
authorities to coordinate with local governmental emergency response organisations
and develop and implement “work-around” arrangements to maintain critical
operations. (Principle 4)
Les protocoles de communication ont permis aux acteurs critiques du marché et à
leurs autorités financières de se coordonner avec des organisations
gouvernementales locales de secours d’urgence et de développer et mettre en
place des dispositions périphériques pour maintenir les opérations critiques.
(Principe 4)
•
More work was needed to coordinate the numerous inter-agency and industry-wide
conference calls with other conference calls involving several financial sector trade
47/75
associations. As a result, a consolidated call matrix has been developed to better
coordinate future emergency calls involving individual financial authorities, financial
sector trade associations, and inter-agency working groups. (Principle 4)
Plus de travail a été nécessaire pour coordonner les nombreuses conférences
téléphoniques entre institutions et pour toute l’industrie avec d'autres conférences
téléphoniques impliquant quelques associations professionnelles du secteur
financier. En conséquence, un tableau de numéros d'appels consolidé a été
développé pour mieux coordonner de futurs appels de secours impliquant des
autorités financières sectorielles, des associations professionnelles du secteur
financier et des groupes de travail inter-institutions. (Principe 4)
•
Maintaining lists of contact information for key officials would expedite consultations
among financial authorities nationally and internationally in the event of an
operational disruption. (Principles 4 and 5)
L’entretien de listes de contacts pour des fonctionnaires clefs accélérerait les
consultations entre les autorités financières, nationalement et internationalement, en
cas d'une perturbation opérationnelle. (Principes 4 et 5)
48
Annex II Case study: The impact of the 2003 SARS outbreak
on Hong Kong SAR’s securities markets
Annexe II Étude de cas : l'impact de l'alerte au SRAS 2003 sur le marché des
valeurs de Hong-Kong SAR
Event
Événement
1.
Hong Kong experienced a serious outbreak of SARS in 2003, the first major
epidemic to affect the region in recent times. The outbreak originated with the arrival in late
February 2003 of a carrier from mainland China and ended officially on 23 June 2003 when
the World Health Organisation removed Hong Kong from the list of affected countries. Before
the spread of the virus was arrested, the outbreak in Hong Kong would trigger similar
outbreaks in Canada, Singapore and Vietnam.
1.
Hong-Kong a éprouvé une sérieuse alerte au SRAS en 2003, la première épidémie
importante à affecter la région dans un passé récent. Le déclenchement s’est produit avec
l'arrivée fin février 2003 d'un transporteur venant de la Chine continentale et s’est achevé
officiellement le 23 juin 2003 quand l'Organisation Mondiale de la Santé eut enlevé HongKong de la liste des pays affectés. Avant que la propagation du virus n'ait été arrêtée, la
contamination de Hong-Kong a déclenché des contaminations semblables au Canada, à
Singapour et au Viêt-Nam.
2.
The Hong Kong SARS outbreak was preceded by a similar outbreak in the
neighbouring Guangdong Province of China. The local news media in Hong Kong were the
first to report on the outbreak and spread of the disease, but little information about SARS
was available in the early stages of the outbreak from the Chinese government, local health
authorities or other official sources. As a result, rumours were rife in Hong Kong and anxiety
was high until the outbreak was brought under control.
2.
La contamination SRAS de Hong-Kong a été précédée par une contamination
semblable dans la province voisine de Guangdong en Chine. Les mass media locaux de
Hong-Kong ont été les premiers à faire un rapport sur la contamination et l’étendue de la
maladie, mais peu d'informations sur le SRAS étaient disponibles de la part du
gouvernement Chinois, de l'administration locale de la santé publique chinoise ou d'autres
sources officielles, aux premiers stades de la contamination. En conséquence, des rumeurs
s’étaient répandues à Hong-Kong et l'inquiétude était grande jusqu'à ce que la contamination
ait été sous contrôle.
Impact
Impact
3.
The 2003 SARS outbreak resulted in 1,755 cases and 300 deaths in Hong Kong
alone. In addition to the tragic loss of life, the epidemic caused widespread fear and anxiety
in the local community and had a significant impact on employment levels and the economy
overall.
3.
L'épidémie de SRAS en 2003 a abouti à 1 755 cas et 300 morts à Hong-Kong seul.
En plus de la perte tragique de vies, l'épidémie a causé une crainte largement répandue et
une inquiétude dans la communauté locale et a eu un impact significatif sur les niveaux
d'emploi et sur l'économie en général.
49/75
4.
The Hong Kong securities industry did not experience major disruptions as a direct
result of the outbreak. There was no serious spread of infection in the industry and the few
individuals who were quarantined during the outbreak developed no sign of illness. Some of
the measures introduced by the local financial authorities, brokerages and other market
participants to slow the spread of the disease and the fear that permeated the local business
community did affect the normal efficiency of day-to-day operations.
4.
L'industrie de valeurs de Hong-Kong n'a pas éprouvé de perturbation majeure
comme résultat direct de l'épidémie. Il n'y a eu aucune diffusion sérieuse d'infection dans
l'industrie et le peu d'individus qui ont été mis en quarantaine pendant la contamination n'ont
développé aucun signe de maladie. Certaines des mesures présentées par les autorités
financières locales, les courtiers et d'autres participants du marché pour ralentir la
propagation de la maladie et la crainte qui s’est emparée de la communauté financière locale
ont vraiment affecté l'efficacité normale des opérations quotidiennes.
Response
Réponse
5.
At the time of the outbreak, Hong Kong’s securities market encompassed more than
400 securities and 100 futures brokerages as well as hundreds of investment advisers, fund
managers and other market participants. Although the global investment banks account for
more than half of the turnover in the securities market today as they did then, the majority of
brokerages (over 350) are local firms servicing the retail market. In addition to having to be
licensed by the SFC, brokerages that trade in the securities, futures or options markets must
be trading participants of HKEx, the parent company of the Stock Exchange of Hong Kong
and the Hong Kong Futures Exchange.
5.
Au moment de la contamination, le marché de valeurs de Hong-Kong comptait plus
de 400 courtiers sur valeurs et 100 sur les futures ainsi que des centaines de conseillers en
investissements, des gestionnaires de fonds et d'autres participants du marché. Bien que les
banques d'investissement mondiales représentent plus de la moitié du chiffre d'affaires sur le
marché des valeurs aujourd'hui comme elles le faisaient alors, la majorité des courtiers (plus
de 350) est constituée de sociétés locales exerçant sur le marché de détail. En plus de
l’obligation d’avoir une licence délivrée par le SFC, les courtiers qui négocient sur les
valeurs, les marchés à terme ou d'options doivent être négociateurs de la HKEx, la société
mère de la Bourse de Hong-Kong et de la Hong-Kong Exchange Futures.
6.
The Hong Kong Securities and Futures Commission (SFC) is the frontline regulator
for market intermediaries and the HKEx. All securities, futures and stock options transactions
are electronically cleared and settled through clearing entities that are wholly owned
subsidiaries of HKEx.
6.
La Commission des Valeurs et Futures de Hong-Kong (SFC) est le régulateur de
l’activité des intermédiaires du marché et de la HKEx. Toutes les valeurs, les futures et les
transactions d'options sur valeurs sont électroniquement compensées et réglées par des
entités qui sont des filiales complètement détenues par la HKEx.
7.
All relevant financial authorities and most brokerages and other relevant market
participants, including the operators of securities clearing and settlement systems,
implemented preventative measures to slow the spread of SARS, although not all at the
same stage of the outbreak. For example, because of the shortage of reliable information in
the initial stages of the outbreak about SARS and the extent to which it had spread in Hong
Kong, it was not before the SFC learned of the preventative measures put in place by firms in
the global investment banking community that SFC management created an internal task
force on 26 March 2003 to deal with the internal and market impacts of the outbreak. HKEx
created a similar internal task force and the two met daily to formulate policies and
50
procedures, monitor their implementation, and track cases where market participants and
SFC or HKEx staff or their families were affected.
7.
Toutes les autorités financières et la plupart des courtiers et des autres participants
concernés par ce marché, y compris les opérateurs des systèmes de compensation et de
règlement, ont mis en œuvre des mesures préventives pour ralentir la diffusion du SRAS,
mais pas tous au même stade de propagation de la contamination. Par exemple, à cause du
manque d'information fiable dans les stades initiaux de l’épidémie de SRAS et sur son
extension à Hong-Kong, le SFC n’a créé une équipe spéciale interne que le 26 mars 2003
pour traiter les impacts internes et sur le marché après avoir eu connaissance des mesures
préventives mises en place par des sociétés dans la communauté financière. HKEx a créé
une équipe spéciale interne semblable et les deux se sont rencontrées quotidiennement pour
formuler une politique et des procédures, contrôler leur mise en oeuvre et suivre à la trace
des cas où des participants du marché et le personnel de la SFC, de HKEx ou leurs familles
ont été affectés.
8.
The measures introduced by the relevant Hong Kong financial authorities to address
the internal impacts of the outbreak varied from one organisation to another. They included
the following:
8.
Les mesures prises par les autorités financières concernées à Hong-Kong pour
traiter les impacts internes de la contamination ont varié d'une organisation à un autre. Elles
englobaient ce qui suit :
•
Notices were issued regularly to staff about the organisation’s response to the
outbreak and about how staff should proceed if they suspect they have become
infected (ie inform management, seek medical attention and refrain from coming to
work for the ten-day incubation period and thereafter until it is confirmed that they do
not have SARS). Staff who became infected would be subject to strict quarantine
procedures.
Des avis ont été publiés régulièrement pour le personnel sur la réponse apportée à
la contamination et pour indiquer comment le personnel devrait procéder s'il
soupçonnait avoir été infecté (c'est-à-dire informer la hiérarchie, chercher une
assistance médicale et s'abstenir de venir travailler pendant la période d'incubation
de dix jours et ensuite jusqu'à ce qu'il leur soit confirmé qu'il n'a pas le SRAS). Le
personnel qui avait été infecté était soumis à une procédure stricte de mise en
quarantaine.
•
A variety of approaches were taken to ensure a minimum level of service would be
maintained if an organisation’s offices were infected. Some organisations
implemented a “split team approach” in which two teams were established from a
group’s existing complement, each of which was capable of backing the other up. At
all times until the outbreak subsided, members of one of the two teams would work
from home. In other organisations, redundancy was introduced by moving parts of
teams to separate office locations for the duration of the outbreak. Telephone
conference calls were encouraged in place of face-to-face meetings.
Diverses approches ont été envisagées pour assurer qu'un niveau minimal de
service serait maintenu si les bureaux d'une organisation étaient infectés. Quelques
organisations ont mis en œuvre "une approche d'équipe doublonnée" dans laquelle
deux équipes ont été constituées à partir du groupe disponible, chacune étant
capable de se substituer à l’autre. À tout moment jusqu'à ce que la contamination
s’apaise, les membres d'une des deux équipes travaillaient à la maison. Dans
d'autres organisations, la redondance a été obtenue en déplaçant des parties
d'équipes pour séparer des emplacements de bureau pour la durée de la
51/75
contamination. Les conférences téléphoniques ont été encouragées en place des
réunions en face à face.
•
Staff were given the option of cancelling non-essential meetings with external
parties and on-site inspections were temporarily suspended. A casual dress code
was introduced to facilitate the cleaning and disinfecting of clothing, and staff that
were pregnant were asked to take early maternity leave.
On a donné au personnel la possibilité d'annuler des réunions non essentielles avec
des parties externes et les inspections sur place ont été temporairement
suspendues. Un style vestimentaire informel a été retenu pour faciliter le nettoyage
et la désinfection des vêtements et l’on a demandé aux femmes enceintes de
prendre immédiatement un congé de maternité.
•
Face masks were distributed to all staff. When the local supply ran out, the SFC
found alternative sources. Staff were encouraged to wear masks at all times, and
those who were required to deal with the public were encouraged to wash their face
and hands thoroughly with soap after meeting with external parties.
Les masques pour le visage ont été distribués à tout le personnel. Quand la
provision locale a été épuisée, le SFC a trouvé des fournisseurs alternatifs. Le
personnel a été encouragé à porter les masques à tout moment et les personnes
requises pour traiter avec le public ont été encouragées à se laver à fond le visage
et les mains avec du savon après les rencontres avec des partenaires externes.
•
Lavatories, elevators and public areas were cleaned hourly throughout the day, and
offices were thoroughly cleaned and disinfected nightly. Arrangements were made
for a team to disinfect and quarantine offices in the event of an outbreak.
Les toilettes, les ascenseurs et les zones publiques ont été nettoyés toutes les
heures pendant le jour et les bureaux ont été nettoyés à fond et désinfectés chaque
nuit. Les dispositions ont été prises pour avoir une équipe de désinfection et pour
mettre en quarantaine les bureaux en cas de contamination.
9.
The following actions were among those taken by the relevant Hong Kong financial
authorities to address the potential market impacts of the outbreak:
9.
Les actions suivantes étaient parmi celles prise par l’autorité financière concernée
de Hong-Kong pour traiter les impacts potentiels de la contamination sur le marché :
•
Circulars were sent to all market participants asking them to advise the relevant
authority should any of their staff become infected and to ensure their business
continuity plans were capable of responding to such an occurrence, and identifying
business continuity procedures of particular relevance to the outbreak. Relevant
information from local health authorities was also circulated to all market
participants.
Des circulaires ont été envoyées à tous les participants du marché leur demandant
d’informer l’autorité si quiconque dans leur personnel était infecté, de confirmer que
leurs plans de continuité d’activité étaient capables de répondre à un tel événement
et d’identifier les procédures de continuité d’activité particulièrement pertinente face
à la contamination. Les informations pertinentes de l'administration locale de la
santé publique locale ont aussi été circularisées auprès de tous les participants du
marché.
•
52
Exchange participants were notified of the steps that would be taken if it became
necessary to suspend trading due to a confirmed case of SARS on the exchange
trading floor. In particular, the trading floor would be closed 30 minutes after
participants were notified of the event and would remain closed for the rest of the
trading day for a thorough cleaning. It would only reopen with the approval of the
health authorities or after a suitable quarantine period had elapsed.
Une note a été adressée aux cambistes pour leur indiquer les mesures qui seraient
prises s'il devenait nécessaire de suspendre les négociations en raison d'un cas
confirmé de SRAS dans la salle du marché des changes. En particulier la salle des
marchés serait fermée 30 minutes après notification aux participants de l'événement
et resterait fermée pour le reste du jour pour un nettoyage minutieux. Elle rouvrirait
seulement avec l'approbation de l'administration de la santé publique ou après
qu'une période d'isolement appropriée se serait écoulée.
•
A database was set up to monitor the status of reported cases involving brokerages
and other market participants.
Une base de données a été créée pour suivre le statut des cas recensés impliquant
des courtiers et d'autres participants du marché.
•
A hotline was staffed to answer questions from investors and other market
participants about the outbreak and its effect on the local securities industry.
Une ligne téléphonique d’assistance a été pourvue en personnel pour répondre aux
questions d'investisseurs et d'autres participants du marché sur la contamination et
son effet sur l'industrie locale des valeurs.
10.
The members of Hong Kong’s investment banking community shared information
freely in a cooperative effort to minimise the spread of infection. Perhaps as a result, none of
the staff at any of the major investment banks contracted SARS during the outbreak. Staff at
the smaller retail brokers and other market participants also avoided infection during the
outbreak. In addition to implementing many of the same measures that financial authorities
introduced to address the internal impacts of the outbreak, the following strategies were
employed by many of the brokerages and other market participants:
10.
Les membres de la communauté des banques d'investissement de Hong-Kong ont
partagé l'information librement dans un effort de coopération afin de réduire au minimum la
propagation de l'infection. Peut-être est-ce la raison pour laquelle aucun personnel des
grandes banques d'investissement n'a contracté le SRAS pendant la contamination. Le
personnel des courtiers de détail plus petits et des autres participants du marché a aussi
évité l'infection pendant l'alerte. En plus de l'exécution de nombreuses mesures similaires
que les autorités financières ont proposées pour réduire les impacts internes de la
contamination, les stratégies suivantes ont été employées par beaucoup de courtiers et
autres participants du marché :
•
Daily business continuity briefing meetings were held to discuss the latest
developments. Staff were updated on the status of the outbreak and other relevant
information via websites or daily e-mails.
Des réunions quotidiennes sur la continuité d’activité ont été tenues pour discuter
des derniers développements. Le personnel a été tenu au courant de la situation de
la contamination et d'autres informations appropriées via des sites Web ou par
messages électroniques expédiés quotidiennement.
•
Some firms hired medical professionals to be available to staff in their offices during
the day.
53/75
Quelques sociétés ont embauché des professionnels médicaux pour être à la
disposition du personnel des bureaux pendant la journée.
•
Staff that would normally take public transport to work were reimbursed for taxi fares
to minimise their exposure to higher risk areas. Flexible work hours were introduced
so that those who did take public transport could commute outside of rush hours.
Le personnel qui prenait normalement des transports en commun pour venir
travailler a été remboursé du prix du taxi afin de réduire au minimum leur exposition
aux zones les plus risquées. Des horaires de travail flexibles ont été proposés pour
que ceux qui devaient prendre les transports en commun puissent le faire hors des
heures de pointe.
•
Business travel in Asia was severely curtailed and otherwise restricted to essential
trips, and policies were introduced that required senior management signoff for all
business travel. In some firms, Hong Kong staff visiting offices in other locations
were required to visit a doctor before leaving Hong Kong.
Les voyages d'affaires en Asie ont été sévèrement réduits et tout du moins limités
aux voyages essentiels et une pratique d’accord préalable de la part du haut
management pour tout voyage a été mise en place. Dans quelques sociétés, il était
exigé des personnes de Hong-Kong visitant les bureaux d'autres emplacements de
consulter un médecin avant leur départ de Hong-Kong.
Lessons Learned
Leçons apprises
11.
Although its impact on the Hong Kong securities industry was relatively minor, the
2003 SARS outbreak had the potential to cause a major operational disruption locally and,
because of the significance of the Hong Kong financial market globally, affect the financial
system in other jurisdictions. As the first event of its kind to affect Hong Kong in recent times,
the outbreak was a true test of the business continuity management of financial authorities
and participants in the securities industry. The following are some of the lessons that can be
drawn from the experience:
11.
Bien que son impact sur l'industrie de valeurs de Hong-Kong ait été relativement
mineur, l’alerte au SRAS en 2003 avait le potentiel pour causer localement une perturbation
opérationnelle majeure et, à cause de l’importance mondiale du marché financier de HongKong, affecter le système financier dans d'autres juridictions. Comme premier événement de
ce type à affecter Hong-Kong dans la période récente, la contamination était un essai réel de
la gestion de continuité d’activité des autorités financières et des participants à l'industrie de
valeurs. Ce qui suit donne quelques leçons qui peuvent être tirées de l'expérience :
•
At the time of the outbreak, the SFC had a comprehensive market contingency plan
for addressing disruptions that affect the markets and a business continuity plan to
address disruptions of its own operations. These plans assumed implicitly that some
staff would always be available in firms and at the SFC to maintain operations in the
event of a major operational disruption. SARS made it clear that that assumption is
not always valid. The suspicion that one member of staff was infected would have
been sufficient to cause an entire division to be quarantined and its operations to be
shut down for at least ten days. Those plans nonetheless had to be revised during
the outbreak to account for such impacts. (Principle 2)
Au moment de l'alerte, le SFC avait un plan de contingence complet pour les
marchés pour répondre aux perturbations qui affectent les marchés et un plan de
continuité d’activité pour traiter ses propres opérations. Ces plans présumaient
implicitement qu'un certain personnel serait toujours disponible dans les sociétés et
54
au SFC pour maintenir les opérations en cas d'une perturbation opérationnelle
majeure. Le SRAS a clairement montré que cette supposition n'est pas toujours
valable. Le soupçon de l’infection d'un membre de personnel aurait été suffisant
pour mettre en quarantaine une division entière et arrêter ses opérations pour au
moins dix jours. Ainsi, ces plans ont dû être révisés pendant la contamination pour
prendre en compte de tels impacts. (Principe 2)
•
Implementing SARS-tailored contingency procedures was facilitated by established
market contingency and business continuity plans. Although they did not explicitly
consider scenarios in which no one would be available to continue operating a
particular function or an entire business, these plans provided a useful framework
for addressing the host of issues that arose from the outbreak. That the SFC and
other organisations had business continuity plans in place and a structure for
dealing with disruptions was clearly a factor in their ability to respond as effectively
as they did. (Principle 1)
La mise en place de procédures de réaction adaptées aux SRAS a été facilitée par
les mesures de contingence des marchés et les plans de continuité d’activité. Bien
qu'ils n'aient pas explicitement traité de scénarios dans lesquels personne ne serait
disponible pour continuer à faire fonctionner une fonction particulière ou toute
l’activité, ces plans ont fourni une structure utile pour traiter les questions qui ont
émergé de la contamination. Que le SFC et d'autres organisations aient des plans
de continuité d’activité en place et donc une structure pour traiter des perturbations
était clairement un facteur positif pour leur capacité de répondre aussi efficacement
qu'ils ont fait. (Principe 1)
•
Organisations can learn from the experience of others and adjust their business
continuity plans accordingly. With the benefit of Hong Kong’s experience to learn
from, the financial authorities in jurisdictions to which the SARS virus spread all
triggered their business continuity plans as soon as cases appeared within their
borders. (Principle 1)
Les organisations peuvent apprendre de l'expérience d'autres organisations et
ajuster leurs plans de continuité d’activité en conséquence. Tirant bénéfice de
l'expérience de Hong-Kong, les autorités financières dans des juridictions
auxquelles le virus SRAS s’est étendu ont toutes déclenché leurs plans de
continuité d’activité aussitôt que les cas sont apparus à leurs frontières. (Principe 1)
•
Responding to a crisis in the absence of timely, complete and reliable information is
particularly challenging. It affects management’s ability to determine whether to
trigger a business continuity plan and can contribute more generally to a sense of
helplessness and anxiety, which in turn can exacerbate efforts to address the crisis.
In such circumstances, effective internal and external communications are critical to
ensuring senior management have access to all relevant information for decisionmaking purposes as soon as it becomes available, and to help staff make more
informed decisions in their work and about matters that affect them and their
families. Communication among financial authorities, market participants and the
government proved essential to an organisation’s awareness of the status of the
outbreak and their ability to determine the appropriate course of action. (Principle 4)
Faire face à une crise en l’absence d'information fraîche, complète et fiable est
particulièrement périlleux. Cela affecte la capacité des dirigeants à déterminer s'il
faut déclencher le plan de continuité d’activité et peut contribuer plus généralement
à un sentiment d'impuissance et d'inquiétude, qui à son tour peut réclamer plus
d’efforts pour traiter la crise. Dans de telles circonstances, les communications
internes et externes efficaces sont critiques pour donner à la Direction générale
55/75
l’assurance de l'accès à toute l'information appropriée pour le processus décisionnel
aussitôt qu’elle devient disponible et pour aider le personnel à prendre des
décisions plus avisées, dans leur travail et pour des questions qui les affectent, eux
et leur famille. La communication entre les autorités financières, les participants des
marchés et le gouvernement s’est révélée l'élément essentiel pour la vigilance d'une
organisation quant à la propagation de l’épidémie et pour sa capacité à déterminer
l’enchaînement adéquat des actions à mener (Principe 4)
•
In the absence of established procedures and communication protocols, it is unlikely
that financial authorities in the midst of a domestic operational disruption would be
able to divert attention away from responding to the local situation to consider
whether financial authorities in other jurisdictions should be contacted, who to
contact, or how to reach them. This was the experience of Hong Kong authorities
during the 2003 SARS outbreak. Because their time was fully absorbed addressing
the local implications of the outbreak, there was no opportunity for Hong Kong
authorities to initiate communications with financial authorities in other jurisdictions
beyond occasional high-level status reports provided at meetings of various
international standard-setting bodies. It was also the case that no foreign financial
authorities initiated contact with their counterparts in Hong Kong to assess the
potential impact of the Hong Kong outbreak on the financial system in their
jurisdictions or learn from the steps taken in Hong Kong in the event the outbreak
were to spread. (Principle 5)
En l’absence de procédures établies et de protocoles de communication, il est peu
probable que les autorités financières au cœur d'une perturbation opérationnelle
domestique auraient été capables de détourner leur attention de la réponse à la
situation locale pour se demander si elles devraient entrer en contact avec des
autorités financières dans d'autres juridictions, avec qui prendre contact, ou
comment les joindre. Ce fut l'expérience des autorités de Hong-Kong pendant
l'épidémie SRAS 2003. Parce que leur temps a été entièrement absorbé par le
traitement des implications locales de l'épidémie, il n'y a eu aucune occasion pour
les autorités de Hong-Kong d’amorcer des communications avec des autorités
financières dans d'autres juridictions au-delà des rapports de situation occasionnels
de haut niveau fournis aux réunions des diverses institutions internationales en
charge de définir des standards. De même, aucune autorité financière étrangère n'a
amorcé le contact avec son homologue à Hong-Kong pour évaluer l'impact potentiel
de l'épidémie de Hong-Kong sur le système financier dans sa juridiction ou
connaître les mesures prises à Hong-Kong dans le cas où l’épidémie devait
s'étendre. (Principe 5)
56
Annex III Case Study: The impact of the 2003 SARS outbreak
on the Canadian securities industry
Annexe III Étude de cas : l'impact de l'alerte au SRAS 2003 sur l'industrie de
valeurs canadienne
Event
Événement
1.
The 2003 SARS outbreak in Canada was principally confined to the Greater Toronto
Area in the province of Ontario. The outbreak developed in two waves, the first originating on
13 March 2003 and the second on 28 May 2003.
1.
L'alerte au SRAS en 2003 au Canada a été principalement limitée au secteur du
Grand Toronto dans la province de l'Ontario. La contamination s’est développée en deux
vagues, la première a pris naissance le 13 mars 2003 et la deuxième le 28 mai 2003.
Impact
Impact
2.
The Canadian securities industry did not experience major disruptions as a result of
the 2003 SARS outbreak. A few individuals from within the regulatory or dealer communities
were quarantined during the outbreak, but none of them developed signs of illness and there
was no spread of infection within these communities. None of the relevant financial
authorities or dealer firms reported an impact on their business operations, apart from minor
disruptions arising from the need to redirect telephone and mail to staff working at alternate
sites.
2.
L'industrie des valeurs canadienne n'a pas éprouvé de perturbation majeure suite à
l'alerte au SRAS 2003. Quelques individus issus des communautés des régulateurs ou des
négociants ont été mis en quarantaine pendant l'épidémie, mais aucun d'eux n’a développé
les signes de la maladie et il n'y a eu aucune propagation d'infection dans ces
communautés. Aucune des autorités financières concernées ou des sociétés de négoce n'a
annoncé un impact sur leurs opérations commerciales, à l’exception de perturbations
mineures résultant du besoin de faire suivre le téléphone et le courrier pour le personnel
travaillant sur les sites alternatifs.
Response
Réponse
3.
The Canadian securities industry is concentrated, with the six largest integrated
firms (all dealer affiliates of the major banks) generating about two-thirds of total industry
revenues. Geographically, the largest capital markets are located in Ontario. The
responsibility for regulating the Canadian securities industry is shared by provincial
authorities. In addition to the provincial regulatory authorities, most dealers are members of
one of the self-regulatory organisations (SROs) with responsibility for enforcing market
integrity rules and otherwise regulating the trading of equities and fixed income securities in
Canada. Some dealers are integrated firms, whereas others focus on a specific market
segment, such as institutional or retail. Securities trades are cleared and settled by a
Canadian clearing agent offering electronic clearing services both domestically and
internationally.
3.
L'industrie de valeurs canadienne est concentrée, avec les six plus grandes
sociétés intégrées (toutes des négociants filiales de grandes banques) produisant les deux
57/75
tiers du revenu total. Géographiquement, les plus grands marchés financiers sont situés en
Ontario. La responsabilité de réguler l'industrie de valeurs canadienne est partagée entre
des autorités provinciales. En plus des autorités régulatrices provinciales, la plupart des
revendeurs sont membres d'une des organisations autorégulatrices (SROs) avec la
responsabilité de mettre en application des règles d'intégrité du marché et par ailleurs de
réguler le commerce des actions et des valeurs à revenu fixe au Canada. Quelques
revendeurs sont des sociétés intégrées, tandis que d'autres se concentrent sur un segment
spécifique du marché, comme l’institutionnel ou le détail. Le commerce des valeurs est
compensé et les règlements sont faits par un agent canadien offrant des services de
compensation électronique tant à l'intérieur du pays qu'internationalement.
4.
The responses of the relevant financial authorities and financial industry participants
to the SARS outbreak varied. The provincial regulatory authority in Ontario identified the
outbreak as a market disruption issue and proceeded to monitor market participants’
reactions to it. Some financial authorities arranged to share office space and access to
technology with one another, agreed on reciprocal arrangements for workload sharing with
other authorities, and made special arrangements with vendors to run some of their
processes externally.
4.
Les réponses des autorités financières concernées et des acteurs de l’industrie
financière à l'alerte au SRAS ont été diverses. L'autorité régulatrice provinciale d'Ontario a
considéré la contamination comme une question de rupture du marché et a continué à
contrôler les réactions des participants du marché. Quelques autorités financières se sont
arrangées pour partager des espaces de bureaux et l'accès aux technologies, ont convenu
de dispositions réciproques pour le partage des charges de travail avec d'autres autorités et
ont pris des dispositions spéciales avec des vendeurs pour exécuter certains de leurs
processus à l’extérieur.
5.
More generally, the responses of the relevant financial authorities and financial
industry participants included some or all of the following actions:
5.
Plus généralement, les réponses des autorités financières concernées et des
acteurs de l’industrie financière ont englobé tout ou partie des actions suivantes :
•
Organising meetings of the board and senior management, both at the onset of the
outbreak and thereafter as necessary, to identify the risks to their organisation and
assess appropriate measures for addressing them. The main risk identified by most
organisations was the inability to continue operating key parts or all of their business
as a result of the infection or extended quarantine of staff;
L'organisation des réunions de l’Organe délibérant et de la Direction générale, tant
au début de l'alerte qu'ensuite autant que de besoin, pour identifier les risques sur
l’entreprise et évaluer les mesures appropriées pour les traiter. Le risque principal
identifié par la plupart des organisations était l'incapacité de continuer des parties
essentielles de l'exploitation ou toute leur activité suite à l'infection ou à une
importante mise en quarantaine du personnel ;
•
Establishing “clean teams” for certain functions in alternate sites or creating isolated
groups by temporarily relocating staff from certain functions to different floors of the
same building;
L’instauration d’"équipes propres" pour certaines fonctions dans des sites alternatifs
ou la création de groupes isolés en transférant temporairement le personnel de
certaines fonctions dans des étages différents du même bâtiment ;
58
•
Restricting access to business facilities to specified staff, enabling staff to work from
home, encouraging the use of conference calls and other alternatives to face-to-face
meetings, and in some cases advising staff to remain out of the office;
Les restrictions d'accès aux équipements pour les relations d’affaires au bénéfice
d’un personnel bien précis, en permettant au personnel de travailler de la maison,
en encourageant l'utilisation de conférences téléphoniques et autres alternatives
aux réunions en face à face et dans quelques cas en conseillant au personnel de
rester hors des bureaux ;
•
Restricting travel to, and mandating quarantine for staff returning from, high-risk
areas and temporarily suspending certain activities in order to minimise the risk of
external contact;
Les restrictions de voyage vers des secteurs à haut risque et l’obligation de mise en
quarantaine du personnel en revenant, et temporairement la suspension de
certaines activités pour réduire au minimum le risque du contact externe ;
•
Creating additional communication lines and communicating regularly with staff to
educate (eg by circulating advisories from public health authorities) and update them
on SARS-related developments via notices on websites or call-in information lines,
and advising staff to notify managers and seek appropriate medical attention if they
experienced SARS-like symptoms or had reason to believe that they may have been
exposed to SARS; and,
La création de lignes de communication complémentaires et la communication
régulière avec le personnel pour l’instruire (ex : en faisant circuler les
recommandations des autorités de santé publique) et le tenir au courant des
événements liés au SRAS via des avis sur des sites Web ou l'appel aux lignes
d'information, et conseillant au personnel d’avertir les responsables, et de
rechercher une assistance médicale appropriée, s'ils ont éprouvé des symptômes
semblables à ceux du SRAS ou s’ils avaient une raison de croire qu'ils pouvaient
avoir été exposés au SRAS ; et,
•
Promoting simple measures to prevent contamination, such as exercising utmost
care in their contacts, washing hands (some organisations made hand sanitizer
available), and avoiding sharing PC peripherals and phones.
Promouvoir des mesures simples pour empêcher la contamination, comme observer
un soin extrême dans les contacts, se laver les mains (quelques organisations ont
mis à disposition des désinfectants pour les mains) et éviter de partager les
périphériques de PC et les téléphones.
Lessons learned
Leçons apprises
6.
Because the outbreak ultimately had only a limited impact on the Canadian
securities industry, the responses of financial authorities and market participants were almost
all of a preventative nature. Nonetheless, it is possible to draw from the experience the
following lessons applicable to the management of business continuity.
6.
Parce qu’en fin de compte l'alerte a eu seulement un impact limité sur l'industrie
canadienne des valeurs, les réponses des autorités financières et des participants au
marché ont été presque toutes de nature préventive. Néanmoins, il est possible de tirer de
l'expérience les leçons suivantes applicables à la gestion de continuité d’activité.
59/75
•
The impact of the event was limited even though the responses of individual
financial authorities and financial industry participants to the outbreak varied. Each
determined its course of action based on the organisation’s assessment of its
relative position in the Canadian securities industry and the nature of the functions it
performed. (Principle 3)
L'impact de l'événement a été limité bien que les réponses des autorités financières
individuelles et des acteurs de l’industrie financière à l'alerte aient été variées.
Chacun a décidé de son plan d'action sur la base de l’évaluation de sa position
relative dans l'industrie de valeurs canadienne et de la nature des fonctions qu’il y
exécute (Principe 3)
•
At the time of the outbreak, the business continuity plans of most organisations had
not explicitly considered scenarios where there may be insufficient staff to conduct
business due to illness or quarantine. It soon became clear as the health crisis
unfolded that the possibility of a single employee being exposed to the virus could
affect the operation of an entire business function in both its primary and alternate
sites – and possibly for an extended period of time. On the basis of this experience,
organisations have updated and modified their business continuity plans to
incorporate scenarios involving significant risk to life and property irrespective of the
cause, whether force of nature, accident, or intentional act. (Principle 2)
Au moment de l'alerte, les plans de continuité d’activité de la plupart des
organisations n'avaient pas explicitement examiné des scénarios où le personnel
serait insuffisant pour conduire les affaires en raison de la maladie ou de mise en
quarantaine. Il est vite devenu clair qu’un problème de santé entraînait l’éventualité
qu'un seul employé exposé au virus puisse affecter les opérations d'une fonction
entière sur les deux sites, primaire et alternatif - et probablement pendant une durée
conséquente. Sur la base de cette expérience, les organisations ont mis à jour et
ont modifié leur plans de continuité d’activité pour incorporer des scénarios
impliquant le risque significatif sur les vies et les biens sans tenir compte de la
cause, qu’elle soit une catastrophe naturelle, un accident, ou un acte intentionnel.
(Principe 2)
•
The boards and senior management of organisations involved in the Canadian
securities industry acted early in the crisis to identify the risks to their employees as
well as the organisations. A variety of steps were taken to minimise the risk that
employees would be exposed to the SARS virus, including educating staff about the
virus and how it is spread. The swift response and the nature of the steps taken may
well have prevented a more serious outcome. (Principle 1)
Les Organes délibérants et les Directions générales des organisations impliquées
dans l'industrie canadienne des valeurs ont agi tôt dans la crise pour identifier les
risques sur leurs employés aussi bien que sur les organisations. Une variété de
mesures successives a été prise pour réduire au minimum le risque d’exposition des
employés au virus SRAS, y compris l'instruction du personnel sur le virus et
comment il se répand. La réponse rapide et la nature des mesures prises peuvent
effectivement avoir empêché des conséquences plus sérieuses. (Principe 1)
•
60
The relevant financial authorities and financial industry participants have recognised
the importance of regularly updating business continuity plans and have done so on
the basis of their experience with the SARS outbreak. In particular, a number of
organisations have taken steps to address certain limitations in their alternate site
arrangements, such as the number of workstations and communication devices.
(Principle 2)
Les autorités financières concernées et les acteurs de l’industrie financière ont
reconnu l'importance de mettre régulièrement à jour les plans de continuité d’activité
et ainsi l’ont fait sur la base de leur expérience acquise avec l'alerte au SRAS. En
particulier, plusieurs organisations ont pris des mesures pour lever certaines
limitations dans les équipements des sites alternatifs, comme le nombre de postes
de travail et des dispositifs de communication (Principe 2)
•
The time for addressing an organisation’s communications requirements under
stress conditions is not during an actual disruption but when markets are operating
normally. The communication challenges during the SARS outbreak revolved mainly
around the ability to communicate with staff spread out over multiple locations away
from the primary business location (eg at alternate sites and in their homes) about
developments with the outbreak and business-related matters. (Principles 4 and 5)
Le moment pour répondre aux besoins de communication d'une organisation n’est
pas celui du stress lié à une perturbation réelle, mais bien quand les marchés
fonctionnent normalement. Les défis de communication pendant l'alerte SRAS ont
tourné principalement autour de la capacité de communiquer avec le personnel
dispersé sur des emplacements multiples loin de l'implantation primaire (ex : sur les
sites alternatifs et à leur domicile) à propos de la contamination et de questions
professionnelles (Principes 4 et 5)
61/75
Annex IV Case study: Niigata Chuetsu earthquake
Annexe IVÉtude de cas : Le tremblement de terre de Niigata Chuetsu
Event
Événement
1.
The Niigata Chuetsu earthquake, measuring 6.8 on the Richter scale and affecting
the Chuetsu region of Niigata prefecture, occurred at 17:56 local time on 23 October 2004. It
was followed by a series of aftershocks that continued for two months.
1.
Le tremblement de terre de Chuetsu (Niigata Japon), qui a atteint 6.8 sur l’échelle
de Richter et a affecté la région de Chuetsu dont la préfecture est Niigata, est survenu le
23 octobre 2004 à 17 H 56 locale. Il a été suivi d’une série de répliques qui se sont
poursuivies pendant deux mois.
Impact
Impact
2.
The earthquake caused significant damage to physical infrastructure and buildings.
Its impact on the financial system and overall economy was minor, however, in relation to the
impact of events like 11 September 2001 and the Hanshin-Awaji earthquake that struck Kobe
and Osaka on 17 January 1995. The impact was relatively minor because the earthquake
occurred in a rural area on a Saturday, which provided a two-day window for steps to be
taken before banking transactions would resume on the following Monday.
2.
Le tremblement de terre a causé des dégâts significatifs aux infrastructures
physiques et aux constructions. Toutefois, son impact sur le système financier et l’économie
dans son ensemble a été secondaire, par rapport aux impacts d’événements comme ceux
du 11 septembre 2001 et du tremblement de terre Hanshin-Awaji qui a frappé Kobé et Osaka
le 17 janvier 1995. L’impact a été relativement mineur parce que le tremblement de terre
s’est produit dans une région rurale, un samedi, ce qui a donné une plage de deux jours
pour prendre les mesures nécessaires avant que des transactions bancaires puissent
reprendre le lundi suivant.
3.
The destruction of physical infrastructure and buildings presented the most
significant impediment to the ability of financial institutions to continue operating. In
particular, transporting employees, cash, bills and checks, mail, and other goods became
difficult, and accommodating employees who had been displaced from their homes or offices
proved challenging. Some branches were forced to close temporarily due to structural
damage, and some off-premise ATMs became unavailable. Evacuation advisories caused
some financial institutions to suspend operations.
3.
La destruction des infrastructures physiques et des constructions a été l’obstacle le
plus significatif à la capacité de fonctionnement des institutions financières. En particulier le
transport des employés, des valeurs de caisse, des factures et des chèques, du courrier et
d’autres produits est devenu difficile et l’accueil des employés qui avaient été déplacés de
leur domicile ou bureau a relevé du défi. Quelques agences ont été forcées de fermer
temporairement en raison des dégâts structurels et quelques distributeurs automatiques sont
devenus indisponibles. Les conseils d’évacuation ont entraîné la suspension de certaines
opérations pour quelques institutions financières.
4.
Most of the financial institutions operating in areas affected by blackouts were able
to continue operating on backup power supplies, and quake-absorbing construction
62
techniques enabled their computer centres to withstand the impact. Communication lines for
ATMs and other services generally functioned without problems. Facility damage at financial
institutions was minor, largely due to measures that were implemented to provide protection
from lightning strikes but which also contributed to the ability to withstand earthquakes and
business continuity plans whose development was based on the experience of the HanshinAwaji earthquake.
4.
La plupart des institutions financières fonctionnant dans les secteurs affectés par
des pannes d’électricité ont été capables de continuer à fonctionner sur des alimentations
en énergie de secours et les techniques de construction antisismiques ont permis à leurs
centres informatiques de résister à l’impact. Les lignes de communication pour des
distributeurs automatiques et d’autres services ont fonctionné généralement sans problème.
Les dégâts aux installations des institutions financières ont été mineurs, en raison des
mesures qui avaient été mises en oeuvre pour se protéger contre la foudre, mais qui ont
aussi contribué à la capacité à résister aux tremblements de terre et grâce aux plans de
continuité d’activité dont le développement avait été basé sur l’expérience du tremblement
de terre d’Hanshin-Awaji.
Response
Réponse
5.
The Ministry of Finance and the Bank of Japan assessed the condition of the quakestricken areas and confirmed that the Disaster Relief Law was applicable in light of the
nature and extent of physical damage in the region. In response, local public authorities take
steps to provide shelter and other services to victims of the disaster.
5.
Le Ministère des Finances et la Banque du Japon ont évalué la situation des
secteurs frappés par le tremblement de terre et ont confirmé que la Loi de Soutien au profit
des sinistrés était applicable au vu de la nature et du niveau des dégâts physiques
intervenus dans la région. En réponse, les autorités publiques locales ont pris les mesures
pour fournir abri et autres services aux victimes du désastre.
6.
Japanese financial authorities subsequently directed financial institutions to
implement “Financial Measures Associated with Earthquake Damage”, special measures
designed to minimise an earthquake’s impact on individuals in the affected areas. The
measures include, for example, provisions directing banks to release funds where a deposit
certificate or passbook is lost and replace dirty, torn or otherwise mutilated money and
insurance companies to pay insurance benefits promptly and extend moratoria on premium
payments.
6.
Les autorités financières japonaises ont par la suite ordonné aux institutions
financières de mettre en oeuvre « les Mesures Financières Associées aux Dégâts de
Tremblement de terre », des mesures spéciales conçues pour minimiser l’impact d’un
tremblement de terre sur les personnes dans les secteurs affectés. Les mesures
comprenaient, par exemple, des dispositions à l’adresse des banques pour libérer des fonds
dans les cas où un certificat de dépôt ou un livret de caisse d’épargne était perdu, remplacer
la monnaie salie, déchirée ou encore mutilée, et faire que les sociétés d’assurance payent
rapidement les indemnisations et étendent les moratoires sur des paiements de prime.
7.
Because of the heavy volume of calls experienced by telephone carriers in the
aftermath of the earthquake, it took some time before financial authorities were able to
communicate with financial institutions in the affected areas. However, the telephone
numbers that financial institutions and financial authorities had shared previously for contact
outside of normal business hours proved helpful.
63/75
7.
À cause de l’énorme volume d’appels auprès des opérateurs téléphoniques après le
tremblement de terre, il a fallu quelque temps avant que les autorités financières puissent
être capables de communiquer avec les institutions financières dans les secteurs affectés.
Cependant, les numéros de téléphone que des institutions financières et des autorités
financières avaient échangés précédemment pour les contacts en dehors des heures
ouvrables normales ont prouvé leur utilité .
8.
Japanese authorities implemented an emergency calling tree that included the
relevant domestic authorities, such as the Cabinet Office, Ministry of Finance, Bank of Japan,
Financial Services Agency, Disaster Countermeasures Office of Niigata Prefecture, Niigata
Prefectural Government and a number of industry organisations. Most authorities used a
priority telephone service in the initial stage of the response, while a central wireless system
was used for communication between the Cabinet Office and other relevant authorities.
8.
Les autorités japonaises ont mis en oeuvre un réseau d’appel d’urgence
comprenant les autorités intérieures concernées, comme le Bureau du Cabinet, le Ministère
des Finances, la Banque du Japon, l’Agence des Services Financiers, le Bureau de Contremesures de Désastre de la Préfecture Niigata, le Gouvernement et un certain nombre
d’organisations de l’industrie. La plupart des autorités ont utilisé un service de téléphone
prioritaire dans la première phase de réaction, tandis qu’un système sans fil central a été
utilisé pour la communication entre le Bureau du Cabinet et les autres autorités concernées.
9.
Most financial institutions were able to confirm the safety of their employees and
ascertain the nature and extent of damage to their facilities by the day following the quake.
Others, however, had difficulty confirming the status for a few days afterward. Financial
institutions were asked to report to the Niigata Finance Office and the Bank of Japan (Niigata
Branch) on the damage they had incurred and whether they were capable of operating.
9.
La plupart des institutions financières ont été capables de confirmer que leurs
employés étaient saufs et de vérifier la nature et l’ampleur des dégâts sur leurs équipements
un jour environ après le sinistre. D’autres, cependant, ont eu des difficultés à confirmer cet
état pendant un certain nombre de jours suivants. Les institutions financières ont été priées
de faire part au Bureau des Finances de Niigata et à la Banque du Japon des dégâts
qu’elles avaient subis et si elles étaient capables de fonctionner.
10.
Before the earthquake, many of the businesses operating in the Chuetsu region of
Niigata prefecture had well-developed policies requiring backup power sources and lines to
cope with the frequent lightning strikes in the region. Consequently, more than 90% of the
retail premises operated by regional banks in Niigata have their own power generating
facilities.
10.
Avant le tremblement de terre, beaucoup d’entreprises fonctionnant dans la région
de Chuetsu, région de la préfecture Niigata, avaient développé des politiques de secours en
sources d’énergie et en lignes de communication pour faire face à la foudre qui sévit
fréquemment dans la région. En conséquence, plus de 90 % des succursales de détail
détenues par des banques régionales de Niigata ont leurs propres moyens en fourniture
d’énergie.
11.
Financial institutions used alternate routes to transport cash in the areas where the
transportation infrastructure was severely damaged. Some had cooperative schemes with
other financial institutions that enabled prompt cash delivery to their partners. Although
financial institutions in Japan are normally closed on weekends, many in the region affected
by the earthquake opened on weekends and introduced low-interest loan facilities to meet
the special needs of customers in the region.
64
11.
Les institutions financières ont utilisé des itinéraires alternatifs pour transporter les
fonds dans les secteurs où l’infrastructure de transport a été sévèrement endommagée.
Certaines avaient des accords de coopération avec d’autres institutions financières qui ont
permis la livraison rapide de fonds à leurs partenaires. Bien que les institutions financières
au Japon soient normalement fermées les week-ends, plusieurs d’entre elles dans la région
affectée par le tremblement de terre ont ouvert les week-ends et ont proposé des prêts à
faible taux d’intérêt pour répondre aux besoins spéciaux de clients dans la région.
12.
When an earthquake occurs in Japan, insurance companies are required to handle
associated claims (ie claims under policies covering fire and earthquake damage)
expeditiously and make the operation of their service centres (regional offices responsible for
processing claims) their highest priority. Consequently, they have developed business
continuity plans with an emphasis on service centre operation and were able to deal
effectively with large-scale loss inquiries and insurance payments and draw upon their high
level of liquidity to cover claims in response to the Niigata Chuetsu earthquake.
12.
Quand un tremblement de terre arrive au Japon, les sociétés d’assurance sont
réquisitionnées pour gérer rapidement les réclamations associées (c’est-à-dire sur les
contrats couvrant les dommages causés par le feu et les tremblements de terre) et faire des
opérations de leurs centres de service (les bureaux régionaux responsables du traitement de
ces demandes) leur plus haute priorité. Par conséquent, elles ont développé des plans de
continuité d’activité en mettant l’accent sur la fonction opérationnelle du centre de service et
ont été capables de traiter efficacement et à grande échelle les demandes sur pertes et les
paiements d’assurance et ainsi alimenter à un haut niveau la liquidité pour couvrir les
demandes en réponse au tremblement de terre de Niigata Chuetsu.
Lessons learned
Leçons apprises
13.
The lessons learned from the Niigata Chuetsu earthquake include the following:
13.
Les leçons apprises du tremblement de terre de Chuetsu Niigata sont les suivantes :
•
There was minimal interruption in the services provided by financial institutions
affected by the earthquake largely because their business continuity plans
incorporated the lessons learned from the Hanshin-Awaji earthquake and from the
frequent lightning strikes in the region. (Principles 1 and 2)
Il y a eu une interruption minimale dans les services fournis par des institutions
financières affectées par le tremblement de terre, en grande partie parce que leurs
plans de continuité d’activité ont tenu compte des leçons apprises du tremblement
de terre de Hanshin-Awaji et de la foudre qui sévit fréquemment dans la région.
(Principes 1 et 2)
•
Explicitly addressing the possibility of disruptions to telecommunication, power, gas,
water and transport systems in areas affected by earthquakes and other natural and
man-made events in business continuity plans improves an organisation’s resilience
to such disruptions and ability to recover from them. Many financial institutions in the
affected region found that pre-arranged cooperative service arrangements with other
financial institutions can be particularly helpful in maintaining service during a
disruption. (Principle 2)
Traiter explicitement dans des plans de continuité d’activité de la possibilité de
défaillances dans les télécommunications, les sources d’énergie, le gaz, les
systèmes d’approvisionnement en eau et les transports dans des secteurs affectés
par des tremblements de terre et d’autres événements naturels et humains,
améliore la résilience d’une organisation à de telles défaillances et sa capacité de
65/75
reprise. Beaucoup d’institutions financières dans la région affectée ont constaté que
des dispositions de service coopératives planifiées avec d’autres institutions
financières peuvent être particulièrement utiles dans le maintien du service pendant
une perturbation. (Principe 2)
•
Public confidence in the financial system was maintained following the Niigata
Chuetsu earthquake because of the ability of financial institutions in the region to
withstand and recover quickly from the event. Clients of financial institutions in the
region experienced minimal interruption in their access to retail financial services.
(Principle 3)
La confiance publique dans le système financier a été maintenue après le
tremblement de terre de Niigata Chuetsu grâce à la capacité des institutions
financières de la région à résister et à se remettre rapidement de l’événement. Les
clients d’institutions financières dans la région ont subi une interruption minimale en
termes d’accès aux services financiers de détail.
•
Access to a variety of communication channels and off-hour contact information is
beneficial in efforts to coordinate responses to a major operational disruption among
financial institutions and relevant authorities. Communication protocols that were
available to all relevant organisations and included key contact information proved
helpful in responding to the earthquake. (Principle 4)
L’accès à une variété de canaux de communication et les informations sur des
contacts hors des heures ouvrables favorisent la coordination des réponses des
institutions financières et des autorités associées à une perturbation opérationnelle
majeure. Les protocoles de communication qui ont été disponibles pour toutes les
organisations concernées et qui comprenaient des listes de diffusion à des
correspondants clés, ont prouvé leur utilité dans la réponse au tremblement de
terre. (Principe 4)
•
Financial institutions in the Chuetsu region were accustomed to testing their backup
power supplies and evacuation procedures at least annually, which contributed to
their resilience to this disruption. (Principle 6)
Les institutions financières dans la région de Chuetsu ont été habituées à tester, au
moins annuellement, leurs alimentations de secours en énergie et leurs procédures
d’évacuation, ce qui a contribué à leur résilience face à cette catastrophe (Principe
6)
66
Annex V Case Study: The London terrorist attacks on 7 July 2005
Annexe V Etude de cas : Les attaques terroristes à Londres du 7 juillet 2005
Event
Événement
1.
On 7 July 2005 three widely-dispersed explosions occurred in the London
Underground at approximately 8:50, followed an hour later by a fourth explosion on a bus in
Tavistock Square. All four explosions were later confirmed as suicide bombings – the first
such attacks in the United Kingdom. More than 50 people were killed and 700 injured in the
explosions. For a significant period the public transportation system in London was at a
complete standstill.
1.
Le 7 juillet 2005 trois explosions, dans des endroits éloignés, sont survenues dans
le Métro de Londres aux environs de 8 H 50, suivies, une heure plus tard environ, d’une
quatrième explosion dans un autobus à Tavistock Square. Toutes les quatre ont été
confirmées comme étant des attentats suicide - les premières attaques de ce type au
Royaume-Uni. Plus de 50 personnes ont été tuées et 700 ont été blessées dans les
explosions. Pendant une période significative, le système de transport public à Londres a été
complètement arrêté.
Impact
Impact
2.
The attacks, although tragic in terms of the loss of life and injuries, did not directly
target the financial sector and thus had little overall impact upon the financial system.
Nevertheless there was indirect impact in terms of disruption to travel arrangements,
communications and access to property within exclusion zones, which presented the sector
with a number of challenges.
2.
Les attaques, tragiques en termes de pertes de vie et de blessures, ne visaient pas
directement le secteur financier et donc ont eu peu d’impact en général sur le système
financier. Néanmoins, il y a eu un impact indirect en termes de dysfonctionnement dans les
moyens de transports, les moyens de communication et l’accès aux biens dans les zones
d’exclusion qui ont représenté un certain nombre de défis pour le secteur financier.
3.
The financial markets proved to be resilient, although the volume of order book
trading reached record levels during 7 July.
3.
Les marchés financiers se sont avérés résilients, bien que le volume des ordres
passés ait atteint un niveau record pendant le 7 juillet.
Response
Réponse
4.
Most providers of critical services experienced low levels of physical disruption,
although one was obliged to relocate to its alternate site. It was nonetheless able to maintain
normal service throughout. Several others made adjustments to their normal operating
systems to cope with the higher than usual volumes of trade and in response to localised
shortages of personnel. These arrangements were successful.
4.
La plupart des fournisseurs de services critiques n’ont ressenti que de faibles
défaillances physiques bien que l’un d’entre eux ait dû se replier sur son site alternatif.
67/75
Néanmoins, il a été capable de maintenir un service totalement normal. Plusieurs autres ont
adapté leurs systèmes d’exploitation habituels pour faire face aux volumes d’affaires plus
élevé que d’habitude et répondre aux manques localisés de personnel. Ces dispositions ont
été couronnées de succès.
5.
To ensure that the market remained orderly in the face of record trading volumes on
7 July and that market participants’ systems were able to manage the higher trading
volumes, the London Stock Exchange declared a ‘fast market’ (under which certain
obligations on market makers are lifted) and suspended the use of Automated Input Facilities
(commonly known as “black box” trading) which account for the majority of orders placed on
the order book. These restrictions were lifted before the closing auction, however, which
went smoothly.
5.
Pour s’assurer que le marché est resté efficace face aux volumes d’affaires
enregistrés le 7 juillet et que les systèmes des acteurs du marché étaient capables de gérer
les volumes de négociation plus élevés, la Bourse de Londres a déclaré un « marché
rapide » (suivant lequel certaines obligations sur les teneurs de marché sont levées plus
rapidement) et suspendu l’utilisation des systèmes automatiques de passation d’ordre
(généralement connus comme des « boîtes noires » de négociation) qui comptabilisent la
majorité des ordres placés sur les carnets de commandes. Ces restrictions ont été levées
avant l’enchère de clôture, qui s’est cependant passée sans à-coup.
6.
Although few firms were directly affected by the events, many activated their
alternate sites, for the most part as a precautionary move.
6.
Bien que peu de sociétés aient été directement affectées par les événements,
plusieurs ont activé leurs sites alternatifs, pour la plupart par mesure de précaution.
7.
The UK financial authorities were not themselves significantly affected by the
incident and were able to invoke their collective response arrangements at an early stage.
These consisted mainly of contacting financial industry participants to assess the extent to
which they had been affected by the events and, on the basis of that information, to make an
overall judgement on whether the financial sector was at risk of substantive disruption.
7.
Les autorités financières du Royaume-Uni n’ont pas été significativement affectées
par l’incident et ont été, dès les premiers moments, capables d’invoquer leurs dispositifs
communs de réponse Ceux-ci ont consisté principalement à entrer en contact avec des
acteurs de l’industrie financière pour évaluer l’étendue des dommages provoqués par les
événements et, sur la base de ces informations, porter un jugement complet sur le fait de
savoir si le secteur financier était en danger de perturbation substantielle .
Lessons Learned
Leçons apprises
8.
To more accurately gauge the impact of the events on the financial sector and the
financial sector’s response, the UK financial authorities conducted a survey of major financial
institutions immediately afterward. It was clear from their responses that several important
lessons had been learned, as summarised below.
8.
Pour mesurer plus exactement l’impact des événements sur le secteur financier et
ses réactions, les autorités financières ont conduit immédiatement après leur survenue une
enquête auprès des principales institutions financières. Il a été clair, au vu de ces réponses,
que plusieurs leçons importantes ont été apprises, comme récapitulées ci-dessous.
68
•
A number of financial institutions who activated their alternate sites expressed
concern about the ability of the providers of syndicated backup facilities to meet
firms’ needs if faced with a wide-area event. In addition, there is some concern
about the level of syndication of individual sites with particular uncertainty about the
criteria that providers apply for prioritisation and space sharing. (Principle 2)
Un certain nombre d’institutions financières qui ont activé leurs sites alternatifs ont
exprimé des inquiétudes sur la capacité des fournisseurs d’équipements mutualisés
de secours à répondre aux besoins des sociétés si celles-ci devaient faire face à un
événement de grande ampleur. De plus, il y a une certaine inquiétude à propos du
niveau de mutualisation de sites individuels avec une incertitude particulière sur les
critères que les fournisseurs appliquent en termes de priorité et de partage
d’espace. (Principe 2)
•
Overall, most financial institutions believed that their business continuity plans had
served them well on the day and had been sufficiently flexible to adapt to the nature
of the incident. It appears that business continuity planning in many financial
institutions is focussed upon impact and decision-making processes rather than on
the nature of the disruption. This gives them what they perceive to be greater
flexibility in responding to a broad range of potential scenarios. This generic impactbased approach worked particularly well for those financial institutions whose key
staff had clearly defined roles and responsibilities that they had rehearsed and for
which they had been well trained. (Principle 2)
Globalement, la plupart des institutions financières ont estimé que leurs plans de
continuité d’activité leur avaient bien rendu service ce jour là et avaient été
suffisamment souples pour s’adapter à la nature de l’incident. Il apparaît que la
planification de la continuité d’activité dans beaucoup d’institutions financières se
focalise sur l’impact et les processus décisionnels plutôt que sur la nature de la
défaillance. De là provient la plus grande souplesse constatée pour répondre à une
large gamme de scénarios potentiels. Cette approche à base d’impact générique a
fonctionné particulièrement bien pour ces institutions financières où le personnel clef
avait clairement défini les rôles et les responsabilités, les avaient répétées et pour
lesquels ils avaient été bien formés. (Principe 2)
•
Most financial institutions that responded to the post-event survey were satisfied
with the level of direct contact and support they received from the relevant
authorities. However, most indicated that they would have appreciated more
communication from the financial authorities during the course of the day on the
status of the various financial markets. (Principle 4)
La plupart des institutions financières qui ont répondu à l’enquête post-événement
ont été satisfaites du niveau de contact direct et de l’appui qu’elles ont reçu des
autorités concernées. Cependant, beaucoup indiquèrent qu’elles auraient apprécié
davantage de communication de la part des autorités financières pendant la journée
sur la position des divers marchés financiers (Principe 4)
•
A majority of financial institutions identified at least a few areas where
communications within their organisations could be improved. Congestion and
subsequent disruption to the mobile telephone networks was cited as the main
obstacle to effective communication, although this did not appear to have had a
significant impact upon principal business activities. Almost all financial institutions
surveyed indicated that they intend to make some changes to their business
continuity plans as a result of the difficulties they experienced. In particular, this is
likely to be aimed at improving fallback arrangements should the main
communications technology prove unreliable during an event. (Principle 4)
69/75
Une majorité d’institutions financières a déterminé au moins quelques secteurs où
les communications dans leurs organisations pourraient être améliorées. La
congestion et la défaillance subséquentes des réseaux téléphoniques mobiles ont
été citées comme constituant l’obstacle principal à une communication efficace, bien
que cela n’ait pas semblé avoir eu un impact significatif sur les activités principales.
Presque toutes les institutions financières enquêtées ont indiqué qu’elles avaient
l’intention de faire quelques changements dans leurs plans de continuité d’activité
suite aux difficultés qu’elles avaient éprouvées. En particulier, celles-ci vont
probablement viser à l’amélioration des dispositifs de repli s’il s’avérait que la
principale technologie de communication n’était pas fiable pendant un événement
de ce type. (Principe 4)
•
In terms of monitoring the unfolding of the incident, the satellite news media were
reported to have been the most valuable source of up-to-date information. However,
nearly half of the financial institutions surveyed reported that their crisis
management teams did not have direct access to this media. This meant in a
number of cases that staff with direct access had more current information than the
crisis management team. There was a general perception that official news
channels at times lagged behind media reports, although it should also be
recognised that official announcements require more thorough validation.
(Principle 4)
En termes de suivi du déroulement de l’incident, les informations par satellite ont été
considérées comme la source la plus valable et la mieux actualisée. Toutefois,
presque la moitié des institutions financières enquêtées ont déclaré que leurs
équipes de gestion de crise n’avaient pas l’accès direct à ce média. Cela a signifié
dans un certain nombre de cas que le personnel bénéficiant de cet accès direct
disposait d’une information mieux actualisée que l’équipe de gestion de crise.
L’impression générale était que les canaux officiels d’information avaient un temps
de retard sur les médias, bien qu’il faille reconnaître aussi que les annonces
officielles exigent une validation plus minutieuse. (Principe 4)
•
Data networks remained largely unaffected but the surge in e-mail traffic during the
incident slowed delivery and access to the internet was similarly affected. (Principles
4 and 6)
Les réseaux de données n’ont généralement pas été touchés mais la montée du
trafic de courriers électroniques pendant l’incident a ralenti les acheminements et
l’accès à l’Internet a été touché de façon similaire. (Principes 4 et 6)
•
Financial institutions made people their main priority. However, as might be
expected this proved to be the most challenging aspect of responding to events,
particularly in view of the shutdown in public transport and the congestion on mobile
phone networks. (Principles 1, 2 and 3)
Les institutions financières ont fait des personnes leur priorité principale.
Cependant, comme on pouvait s’y attendre, ceci s’est avéré être le défi le plus
grand en réaction aux événements, particulièrement au vu de l’arrêt des transports
publics et de la congestion des réseaux de téléphone mobile. (Principes 1, 2 et 3)
•
70
The timing of the incidents meant that most financial institutions’ staff were already
at or close to work before the disruption began. Consequently, unscheduled
absence of key staff was not a significant feature of the event. However, many
financial institutions experienced difficulties in accounting for staff on the move and it
is clear that there is enormous variation in the methods for doing so. Most financial
institutions had nonetheless accounted for all of their staff within three hours. More
challenging for many was the task of accounting for visitors and contractors, with
only around half being able to do so with a high level of certainty. (Principle 4)
L’horaire des incidents a fait que la plupart du personnel des institutions financières
était déjà au travail ou près de celui-ci avant que la perturbation ne commence. Par
conséquent, l’absence non prévue de personnel clef n’a pas été une caractéristique
significative de l’événement. Toutefois, beaucoup d’institutions financières ont
éprouvé des difficultés à comptabiliser le personnel en déplacement et il est clair
qu’il y a une énorme variété de méthodes pour le faire. La plupart des institutions
financières avaient néanmoins comptabilisé tout leur personnel au bout de trois
heures. Plus difficile pour beaucoup était la comptabilisation des visiteurs et
fournisseurs, une moitié seulement a été capable de le faire avec un niveau de
certitude élevé. (Principe 4)
•
A majority of financial institutions took a proactive approach to ensuring the welfare
of their staff. Few firms had formal contingency plans in place, however, and ad hoc
arrangements proved challenging. Several financial institutions noted that there was
insufficient information provided by the authorities on the overall coordination of
plans for transport and evacuation during the course of the day. This meant that
individual financial institutions lacked a context in which to set their own plans.
(Principle 6)
Une majorité d’institutions financières a adopté une approche proactive pour
s’assurer du bon état du personnel. Peu de sociétés avaient des plans d’urgence
formels en place, seulement des mesures ad hoc qui avaient fait leurs preuves.
Plusieurs institutions financières ont noté qu’il y avait une insuffisance d’information
de la part des autorités sur la coordination générale des plans pour le transport et
l’évacuation tout au long de la journée. Cela a signifié que des institutions
financières individuelles ont manqué d’informations sur le contexte général,
nécessaires à la mise en place de leurs plans propres. (Principe 6)
•
Many financial institutions advised non-essential staff to remain at home on the day
following the incidents mainly because they recognised that the transport system
would still be disrupted. Many staff were able to use remote access technology to
work from home. Nonetheless, a few financial institutions experienced unscheduled
staff absences of above 20% – no doubt reflecting staff concerns about the risk of
further incidents. (Principle 3)
Beaucoup d’institutions financières ont conseillé au personnel non essentiel de
rester à la maison le lendemain des incidents, principalement parce qu’ils ont
constaté que le système de transport serait toujours perturbé. Une grande partie du
personnel a été capable d’utiliser les technologies d’accès à distance pour travailler
depuis son domicile. Néanmoins, quelques institutions financières ont subi des
absences de personnel non prévues de plus de 20 % - reflétant sans doute les
inquiétudes de leur personnel face au risque de nouveaux incidents. (Principe 3)
•
The events of 7 July 2005 have reaffirmed the priority assigned by UK financial
authorities to regular market-wide testing and to benchmarking the resilience of the
UK financial sector. (Principles 6 and 7)
Les événements du 7 juillet 2005 ont réaffirmé la priorité assignée par les autorités
financières du Royaume Uni de faire régulièrement des tests sur tout le marché et
pour évaluer la résilience du secteur financier national (Principes 6 et 7)
•
Communication with foreign financial authorities and financial industry participants
during the events of 7 July 2005 was initiated principally by foreign organisations
and was generally low-key and ad hoc. This was because the UK financial
71/75
authorities had ascertained at an early stage that the events posed no significant
threat to the UK financial sector and thus no risk of cross-border ramifications.
Nonetheless, the UK financial authorities are reviewing their communication
protocols in the light of this recent experience. There may be room for such
protocols to consider the circumstances in which the financial authorities in a
jurisdiction affected by a major operational disruption should be the ones to initiate
communications with financial authorities and critical market participants in other
relevant jurisdictions. These circumstances would include, in particular, disruptions
with the potential of cross-border implications where financial authorities in other
jurisdictions are likely to know that a disruption has occurred. (Principle 5)
La communication avec les autorités financières étrangères et les acteurs de
l’industrie financière pendant les événements du 7 juillet 2005 a été initiée
principalement par des organisations étrangères et a été généralement modérée et
adéquate. Il en a été ainsi parce que les autorités financières du Royaume-Uni
avaient vérifié dès les premières moments que les événements ne présentaient
aucune menace significative pour le secteur financier du Royaume-Uni et ainsi qu’il
n’y avait aucun risque de répercutions transfrontières. Néanmoins, les autorités
financières du Royaume-Uni sont en train de passer en revue leurs protocoles de
communication à la lumière de cette expérience récente. Il peut y avoir place pour
des protocoles qui soient tels que l’on puisse considérer que les circonstances dans
lesquelles les autorités financières dans une juridiction affectée par une perturbation
opérationnelle majeure soient celles qui auraient établi les communications avec
des autorités financières et des acteurs critiques du marché dans d’autres
juridictions avec lesquelles elles sont en rapport. Ces circonstances comprendraient
particulièrement les défaillances avec un potentiel d’implications transfrontières où
les autorités financières d’autres juridictions auraient probablement à savoir qu’une
défaillance est survenue. (Principe 5)
72
Annex VI - Bibliography
Annexe VI - Bibliographie
Australian Prudential Regulation Authority (2005): Guidance note AGN 232.1 (Authorised
Deposit-Taking Institutions) and GGN 222.1 (General Insurers), Risk assessment and
business continuity management, April,
http://www.apra.gov.au/Policy/loader.cfm?url=/commonspot/security/getfile.cfm&PageID=8529, and
http://www.apra.gov.au/General/loader.cfm?url=/commonspot/security/getfile.cfm&PageID=8532.
- - - (2005): Prudential standards APS 232 (Authorised Deposit-Taking Institutions) and GPS
222 (General Insurers), Business continuity management, April,
http://www.apra.gov.au/Policy/loader.cfm?url=/commonspot/security/getfile.cfm&PageID=8528, and
http://www.apra.gov.au/General/loader.cfm?url=/commonspot/security/getfile.cfm&PageID=8531.
Banca d’Italia (2004), Continuità operativa in casi di emergenza (Regulation on Business
Continuity Management), Bollettino di Vigilanza, pages 7-13, July,
http://www.bancaditalia.it/vigilanza_tutela/vig_ban/pubblicazioni/boll_vig/anno04/bolvig_07_04.pdf#pa
ge=11.
Bank of Japan (2003): Business continuity planning at financial institutions, July,
http://www.boj.or.jp/en/set/03/fsk0307a.htm.
- - - (2003): Business continuity planning at the Bank of Japan, September,
http://www.boj.or.jp/en/about/03/sai0309a.htm.
Banque de France (2004): The resilience of post market infrastructures and payment
systems, Revue de la stabilité financière, pages 107-114, November,
http://www.banque-france.fr/gb/publications/rsf/rsf_112004.htm.
Committee on Payment and Settlement Systems (2001): Core principles for systemically
important payment systems, January, http://www.bis.org/publ/cpss43.htm.
- - - / International Organization of Securities Commission (2001); Recommendations for
securities settlement systems, November, http://www.bis.org/publ/cpss46.htm.
Commission of the European Communities (2005): Green paper on a European programme
for critical infrastructure protection, November,
http://eur-lex.europa.eu/LexUriServ/site/en/com/2005/com2005_0576en01.pdf
De Nederlandsche Bank (2004): Assessment framework for BCP in respect of payment and
securities settlement systems,
http://www.dnb.nl/dnb/bin/doc/Assessment%20framework_tcm13-49071.pdf.
European Central Bank (2001): Memorandum of understanding on co-operation between
payment systems overseers and banking supervisors in stage three of economic and
monetary union, http://www.ecb.int/press/pr/date/2001/html/pr010402.en.html.
- - - (2003): Memorandum of understanding on high-level principles of co-operation between
banking supervisors and central banks of the European Union in crisis management
situations, http://www.ecb.int/press/pr/date/2003/html/pr030310_3.en.html.
73/75
- - - (2005): Memorandum of understanding on co-operation between the banking
supervisors, central banks and finance ministries of the European Union in financial crisis
situations (2005), http://www.ecb.int/press/pr/date/2005/html/pr050518_1.en.html.
-
-
-
(2005):
Payment
systems
business
continuity
–
issues
paper,
http://www.ecb.int/ecb/cons/previous/html/paysysbusinesscontinuity.en.html.
Federal Financial Institution Examination Council (2003): IT handbook on business continuity
planning, http://www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf .
The Federal Reserve Board, the Office of the Comptroller of the Currency (OCC), and the
Securities and Exchange Commission, United States of America (2003): Interagency Paper
on Sound Practices to Strengthen the Resilience of the U.S. Financial System,
http://www.federalreserve.gov/boarddocs/press/bcreg/2003/20030408/default.htm.
Financial
Services
Authority,
United
Kingdom
(2003):
http://www.fsc.gov.uk/upload/public/attachments/6/bcmriskmatrix.pdf.
BCM
risk
matrix,
- - - (2002): Operational risk systems and control, UK FSA consultation paper #142,
http://www.fsa.gov.uk/pubs/cp/cp142.pdf .
- - - (2002): A risk-focused review of business continuity management in major financial
groups post September 11,
http://www.fsc.gov.uk/upload/public/Files/1/fsa_bcm_paper_2002-09.pdf .
Financial Stability Committee, Belgium (2004):
recommendations on business continuity planning,
Financial
Stability
Committee
http://www.cbfa.be/eng/aboutcbfa/cfs/pdf/business_continuity_planning.pdf .
Hong Kong Monetary Authority (2002): Supervisory policy manual (“SPM”) TM-G-2: business
continuity planning, December,
http://www.info.gov.hk/hkma/eng/bank/spma/attach/TM-G-2.pdf .
Monetary Authority of Singapore, (2003): Business continuity management guidelines,
http://www.mas.gov.sg/regulations/download/BCMGuidelines.pdf .
Summary of “lessons learned” from events of September 11 and implications for business
continuity (2002), http://www.sec.gov/divisions/marketreg/lessonslearned.htm.
Task Force on Major Operational Disruption in the Financial System, United Kingdom (2003):
Do we need new statutory powers? Report of the Task Force on Major Operational
Disruption in the Financial System,
http://www.bankofengland.co.uk/publications/other/financialstability/taskforce/index.htm.
Tripartite Standing Committee, United Kingdom (2004): Financial sector business continuity
progress report, http://www.fsc.gov.uk/upload/public/Files/1/Report.pdf.
74
Annex VII -Members of the Joint Forum Business Continuity
Working Group
Annexe VII -Les membres du Groupe de travail Continuité d’activité
du Forum Tripartite
Chairman:
John Sloan (UK FSA)
Australia:
Heidi Richards (APRA)
Canada:
Judy Cameron (OSFI)
Randee B. Pavalow (OSC)
France:
Alain Dequier (Commission Bancaire)
Hong Kong SAR:
Angelina Kwan (Securities and Futures Commission)
Japan:
Ei-ichiro Fukase (Bank of Japan)
The Netherlands:
Rick Angevaare (DNB)
UK:
John Milne (FSA)
USA:
Angela Desmond (FRB)
Alton Harvey (SEC)
Mike Yuenger (OCC)
CPSS liaison:
Benjamin Hanssens (CPSS Secretariat)
Secretariat:
Jeff Miller (Joint Forum Secretariat)
Président :
John Sloan (ROYAUME-UNI FSA)
Australie :
Heidi Richards (APRA)
Canada :
Judy Cameron (OSFI)
Randee B. Pavalow (OSC)
France :
Alain Dequier (Commission Bancaire)
Hong-Kong SAR :
Angelina Kwan ( Commission Valeurs & Futures)
Japon :
Ei-ichiro Fukase (Banque du Japon)
Pays-Bas :
Rick Angevaare (DNB)
ROYAUME-UNI :
John Milne (FSA)
Etats-Unis :
Angela Desmond (FRB)
Alton Harvey (SEC)
Mike Yuenger (OCC)
Liaison CPSS :
Benjamin Hanssens (Secrétariat de CPSS)
Secrétariat :
Jeff Miller (Secrétariat du Forum Tripartite)
75/75