Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

CHAPTER
9
Operational Risk Governance
R I S K G O V E R N A N C E A N D T H E R O L E O F T H E B O A R D
Firm governance starts with a definition of the roles and responsibilities of the dif-
ferent stakeholders in the firm. Similarly, proper risk governance must ensure that the
roles and responsibilities of those involved in the firm’s risk management – arguably,
everybody – are clearly defined, understood and executed accordingly.
Effective governance can be described as clearly defined roles and responsibilities
across the organization with an executable decision-making process and enforceable
discipline.
Worldwide, corporate governance codes use similar terms to express that the board
is responsible for determining the nature and extent of the significant risks it is willing to
take to achieve its strategic objectives and to maintain sound risk management and inter-
nal control systems. In other words, the board is responsible for setting the risk appetite
of the firm and for making sure that it operates within the limits of its risk appetite.
Following the development of non-financial risk management and the recommen-
dations of regulators and large consultancy firms, most banks and insurance companies
have now articulated their risk governance according to the three lines of defense model
(3 LoD). Originally derived from risk management organization in the military, the 3
LoD model is now commonplace in the financial industry.
Although straightforward in theory, risk governance and the 3 LoD model are
not always easy to implement in practice, and for years the topic has generated huge
debates and many publications. The next section describes the model and some of its
challenges.
T H R E E L I N E S O F D E F E N S E M O D E L
F i r s t L i n e : T h e B u s i n e s s ( o r R i s k O w n e r s )
The first line of defense, or front-line risk management, typically covers all the com-
mercial and front-office operational functions; in one word, the “business.”
Risk is
95
Operational Risk Management: Best Practices in the Financial Services Industry, First Edition.
Ariane Chapelle.
© 2019 John Wiley & Sons Ltd. Published 2019 by John Wiley & Sons Ltd.

96
RISK MITIGATION
managed where it is generated
is a common risk management adage and is useful as a
reminder that risk is – ironically –
not
managed by the risk
management
function but
by the business itself.
Yet, in referring to the “business” as the first line of defense, a common ques-
tion arises regarding the support functions: are the Human Resources, Communication,
Legal or Finance departments first line or second line? The answer is “both,” depending
on the tasks at stake. For its own risk-taking, a support department should be considered
as a first line of defense: HR, for instance, is on the first line to manage the risks within
its own department, so is Legal or Finance. However, for the assessment and manage-
ment of risks in other departments, support functions are second line. HR is the second
line of defense for the assessment and mitigation of people risk in the organization,
although the power and responsibilities of HR departments vary widely from firm to
firm, and Legal is the second line of defense for legal risks borne by other departments
(unless specified otherwise within the firm).
Overall, when defining the first line of defense, it is better to refer to

Download 5,45 Mb.

Do'stlaringiz bilan baham: