Aggressive profit growth targets. 2

CHAPTER
6
Risk and Control Self-Assessments
S T R U C T U R E A N D O B J E C T I V E S O F R C S A S
As the name implies, a risk and control self-assessment exercise is a process by which a
business line, an entity or a division known as the risk assessment unit (RAU) evaluates
the likelihood and the impact of each significant operational risk it faces.
RCSAs are workshop-style discussions leading to the self-assessment of a unit’s
main inherent risks and the key controls mitigating those risks and how effective they
are. This leaves the unit with only residual risks, given the current control environment.
Inherent risks are usually understood as the size of risk exposure before the application
of any controls. However, this theoretical definition can appear quite unrealistic to line
managers, especially those in highly controlled environments such as IT or finance
departments. An alternative and possibly more workable definition is
a risk that could
materialize in case of multiple control failures.
In RCSAs, risks are most often assessed in their two best-known dimensions: prob-
ability of occurrence and impact if occurring. Some organizations add the notion of
“velocity,” which is commonly understood as the speed at which the impacts of a risk
materialize in an organization. Velocity may also mean the pace at which a risk evolves
in the environment and relates to the concept of risk horizon, i.e. the timeframe in which
the risk will become significant for the firm. This is particularly relevant for top-down
risk analysis around emerging risks and market trends analysis around the various char-
acteristics of the risk environment: competitive, technological, political, regulatory or
criminal. Although velocity and horizon can be relevant in describing and qualifying
significant risks to the firm, I believe that the additional complexity they bring to the
risk assessment is worth it only for strategic, top-down risk assessment at group level
and shouldn’t be generalized to all risk assessment units.
There are many variants of RCSA in the industry, such as risk and control
assessment (RCA) by an independent party and residual risk self-assessment (RSA).
The latter hides the reliance of key controls for large risk exposures, such that risks
that are inherently small and others that are small because of heavy control systems
are represented the same way. Risk and control assessments are usually qualitative
51
Operational Risk Management: Best Practices in the Financial Services Industry, First Edition.
Ariane Chapelle.
© 2019 John Wiley & Sons Ltd. Published 2019 by John Wiley & Sons Ltd.

52
RISK ASSESSMENT
and judgment-based, although some firms demand evidence of control testing before
controls can be rated as effective and inherent risks decreased to acceptable levels.
Other firms simply rely on the business’s word. Mature organizations backtest
the results of risk assessment against the incident experience at the end of the
period – usually a year; incidents and losses are compared to what had been assessed
initially.
RCSA exercises have become a classic in the operational risk manager’s toolbox
and are now the principal operational risk assessment method for firms. Line man-
agers usually perform RCSAs themselves with support from the risk function. For
firms still maturing in risk management, it is advisable for risk managers to help the
business run risk assessment workshops and to facilitate debates and reflections. The
results of assessments must be documented and submitted to line managers for approval
and sign-off. Line managers are responsible for the output and for implementing any
actions as a result of the analysis.
Line managers and risk managers should expect the following from RCSA
exercises:

Download 5,45 Mb.

Do'stlaringiz bilan baham: