Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

Operational Risk Governance
97
L i n e 1 . 5 : T h e R i s k C h a m p i o n s
Over the last 15 years, risk management has become a formidable discipline in the
financial sector, with increasing levels of technical sophistication, jargon, codes, com-
pliance requirements and quantification techniques. The old days of classic credit risk
management are over. Financial risk management is centralized in most large organi-
zations and is handled by dozens, if not hundreds, of quant specialists who maintain
complex quantification models. Non-financial risk management – operational risk – is
more decentralized by nature. However, it is also centrally reported and assessments
are aggregated and communicated to senior management and the board by a central
function. Not everybody in the business has the vocation to be a risk specialist and to
understand risk management methods and terminologies. This is why, early on, many
firms stipulate that in first-line departments the so-called “risk specialists” or “risk
champions” should interact with the risk function. These “specialists,” “champions”
or “risk correspondents” are also referred to as the line “1.5” or “1.b.” They are partic-
ularly common in larger organizations.
The roles of risk specialists within the first line of defense include:
■
being the main correspondent for risk issues
■
collecting and recording the risk events and losses
■
mapping the risks and controls in line with the group definitions (when
appropriate)
■
following up on the control rules defined, in the context of the risk profile of the
entity, and the quality of the operational environment
■
being part of the redesign of procedures if needed
■
being part of the follow-up of audit tracking and risk management action plans.
S e c o n d L i n e : T h e R i s k F u n c t i o n
The second line of defense is the risk function. I purposefully refer to this line as the
risk function rather than the “risk management” in order not to reinforce the common
confusion arising from a poor choice of words at the time that operational risk man-
agement emerged as a discipline in the financial sector. Unlike financial risks, ORM
cannot be centralized; instead, the ORM department should be called the risk
method-
ology
department because this is where the methods for managing operational risk are
developed and communicated, not where risk is managed.
The risk function should fulfill three roles:
■
To help define the risk appetite for the business and the board.
■
To monitor the risk exposure within risk appetite and to own the risk management
framework.
■
To challenge and to advise on strategic business decisions with regard to
risk-taking.

98
RISK MITIGATION
For these three roles, risk professionals must have expertise in conceptual and
technical aspects of risk identification, assessment, mitigation and monitoring. They
also require excellent knowledge of the regulatory demands and of the environment to
ensure business compliance. In addition, role holders should understand the business
processes and their application, constraints and vulnerabilities.
1
The first and most important role of the risk function is to establish a process
for the business to define its risk appetite. Defining a relevant, specific and actionable
risk appetite results from a mature risk management process. To assess the risks that a
business is willing to take, and to maintain sound risk management and internal control
systems, requires the identification and assessment of the key risks that may negatively
impact the business objectives, the evaluation of the current exposure to those risks, and
the definition of additional controls if this exposure is judged excessive. It is the role
of the risk function to provide a consolidated view of the risk profile of the business, to
inform the executive committee about staying within risk limits and to report instances
when the business’s risk limits are breached. Part 4 of this book, dedicated to risk
reporting, provides more detail on this topic.
The risk function requires great visibility over the conduct of business operations,
as well as a deep understanding of the risk drivers impacting the business. It also
requires a firm grasp of the most suitable metrics to capture the risk drivers so that
a successful key risk indicator program can be created to ensure proper monitoring of
the risk appetite.
Another major contribution of the risk function is business decision-making, by
providing an informed view of the possible risks and mitigating options available to the
business. The risk function should act as a sounding board to the business for decisions
that may modify risk-taking and the risk profile of the institution. Such business deci-
sions may concern new ventures, commercial accords or acquisitions, new products or
new markets, investments or divestments.
To achieve an effective challenging role, the risk function needs to have enough
delegated authority to freeze some business decisions that may contradict regulatory
requirements or upcoming possible regulatory scrutiny, or that exceed risk appetite
without proper acknowledgment from the board.
T h i r d L i n e : I n t e r n a l A u d i t
The third line of defense is internal audit – probably the line with the clearest
boundaries. Internal audit is the independent party to the risk management process.
1
For more detail, please read “Building an invisible framework for risk management,”
A. Chapelle and M.Sicsic, risk.net, 2014; also in
Reflections on Operational Risk Management
,
Risk Books, 2017.

Operational Risk Governance
99
It independently assesses the risks to and compliance with the policies and procedures
of the different departments and activities in an organization, including the risk
function.
Both the risk function and internal audit use risk assessment tools. These tools
differ in all the organizations I have worked with, except for one or two firms. In some
firms, audit and risk coordinate their agendas in order not to overload the business
with redundant visits and risks assessments. Sometimes, the second and third lines of
defense also exchange information and findings. In a recent publication,
2
the Institute
of Internal Auditors expressed its view on the interaction of internal audit with risk
management, compliance and finance functions:
■
Effective Risk Management, Compliance and Finance functions are an essential

Download 5,45 Mb.

Do'stlaringiz bilan baham: