Internal fraud (frauds and unauthorized activities by employees). 2

xx
INTRODUCTION
3.
Employment practices and workplace safety (contract termination, disputes with
employees, etc.).
4.
Clients, products and business practices (client misinformation, complaints and
discounts due to errors, products misspecification, etc.).
5.
Damage to physical assets.
6.
Business disruption and system failures (IT breakdown, etc.).
7.
Execution, delivery and process management (processing error, information trans-
fer, data coding, etc.).
A simpler way to understand operational risk is to refer to the original, unofficial
definition used in banking: “Operational risk is everything that is not credit and market
(risk).” Another general definition of operational risk is a “non-financial risk,” i.e., any
risk type that is not purely financial, such as credit, market or liquidity risk in banking
and an underwriting risk in insurance. Indeed, “operational risk management” in the
financial industry is just “risk management” in other industries. Even though this book
is specifically targeted at financial companies, their consultants and their regulators,
risk managers from other industries, such as the police, healthcare or charities, might
find it useful as well.
S c o p e a n d M o t i v a t i o n o f t h i s B o o k
This book presents and reviews the most current operational risk management practices
in the financial services industry. It builds on my experience of working with, advising
and observing financial services companies for nearly 20 years, since the early days
of the discipline in the late 1990s. Any risk manager new to the discipline, whether in
banking, insurance, consulting or regulatory bodies, will find that the book provides a
useful overview of the current methods and good practices applied in financial com-
panies. The last chapter in each part of this book has advanced tools and techniques
developed by the most mature firms in operational risk management. Experienced
operational risk managers can use these resources to strengthen and consolidate their
knowledge.
R I S K M A N A G E M E N T F R A M E W O R K S
A risk management framework is a representation of actions, techniques or tools
deployed to manage the risks of an entity. There are numerous frameworks published
by different professional organizations. Among the best known are ISO (International
Organization for Standardization) and COSO (Committee of Sponsoring Organiza-
tions). In 2009, ISO published the international standard for risk management: ISO
31000, revised in February 2018 to place “a greater focus on creating value as the
key driver of risk management and ( . . . ) being customized to the organization and

Introduction
xxi
consideration of human and cultural factors”.
1
An evolution aligned with COSO’s
previous review of its well-known “cube” framework for enterprise risk management,
entitled “Aligning risk with strategy and performance,” opened for comments in
June 2016 and was finalized in September 2017. COSO places the mission, vision
and risk culture in concentric circles at the center of the framework and details
23 tools and actions for performing enterprise risk management that enhance strategic
performance.
2
Both the COSO and ISO frameworks apply to financial as well as
non-financial organizations.
Regardless of their shape or form, many risk management frameworks boil down
to four main activities: risk identification, risk assessment, risk mitigation and risk
monitoring. The first four parts of this book correspond to these activities; the fifth part
is dedicated to some specific types of operational risks that rank high on many firms’
risk registers. When using the term “risk management,” I refer to all these four actions.
The following subsections review three alternative representations of risks found in
different risk management frameworks across the industry:
Sequence: cause – event – impact
Actions: identification – assessment – mitigation – monitoring
Techniques: the tools used for each risk management action
R i s k M a n a g e m e n t S e q u e n c e
A familiar representation of risk, mostly in non-financial industries, is the sequence
of cause – event – impact and its corollary definition: risk of (impact), due to (event),
caused by (cause). This risk structure is more common in the energy and technology
sectors, but some financial companies have adopted it. Figure I.1 presents the sequence
of risk management, from the exposure to risks and their causes to the financial and
non-financial impacts of events when a risk materializes. It highlights the importance
of assessing the size of the risk exposure, and its causes, before introducing the pre-
ventive controls. The exposure to a risk, whether in the form of assets at stake, number
of employees involved or number of transactions per period of time, has been rather
neglected by the financial sector during risk assessment. I will get back to this point
in Part 1. Similarly, for a long time many firms have largely neglected incident man-
agement and corrective controls and have dedicated most of their risk management
attention to the prevention of incidents, on the basis that prevention is better than cure.
This resulted in several of them being thrown off guard when a crisis struck. Nowa-
days, in the midst of cyber threats and political upheavals, our increasingly volatile
and unpredictable business environment has shifted much of the focus toward early
intervention, incident management and crisis response, presented in Chapter 20.
1
“Risk management”, ISO 31000, February 2018.
2
“Enterprise risk management – integrating with strategy and performance,” COSO, 2017.

xxii
INTRODUCTION
Risk is the impact of uncertainty on objectives
Preventive controls
Exposure and causes
due to:
• Strategy
• Environ
m
ent
Risks/events
• Turning into incidents
when 
m
aterialized
I
m
pacts
• Financial i
m
pacts
• Non-financial i
m
pacts
Corrective controls and
incident 
m
anage
m
ent
F I G U R E I . 1
Risk management sequence
The elements of a sequential framework are as follows. Each element will be
detailed in a subsequent chapter.
Causes
Exposure: the surface at risk. It ranges from the distance driven in a car (exposure
to accidents) to the number of employees with access to high-value transfers
in banks (exposure to internal fraud). The only way to eliminate the risk is
to remove the exposure, but that will eliminate the business as well. This is a
strategic choice linked to risk appetite and will be covered in Chapter 6.
Environment: this refers both to external and internal environments, which are con-
trollable only to a certain extent. For example, externally, a firm can choose
where to expand its business, but it cannot choose the business conditions in
its home country. Internal business environment refers to the organizational
features of the firm, such as effective straight-through processing, competent
staff and inspiring leaders, which will typically generate far fewer operational
risks than disorganized businesses with disjointed processes and a culture of
fear. Risk culture will be discussed in Chapter 12.
Strategy: the most controllable part of risk causes. A firm may decide to expand
overseas, launch a new line of business, replace manual processes by automa-
tion, and outsource its call centers or its payment systems. Every major deci-
sion will affect the risk profile of the firm and its exposure to operational
risk. Strategy, along with the operating environment, is the major driver of
exposure to operational risk.
Events
Risks turn into “events” or “incidents” when they become a reality rather than a
possibility. An event is the materialization of a risk. For example, a collision
with another vehicle is one materialization of the risk of a car accident, but

Introduction
xxiii
not the only one. The detailed analysis of past incidents helps greatly with
future prevention. Risk analysis and mitigation are covered in Part 3.
Impacts
Consequences of incidents are not always immediately financial, but there is
inevitably a financial impact at some point. Reputational damage, customer
loss, regulatory breach and disruption of service, all typically described as
non-financial impacts in operational risk assessments, eventually result in
financial losses. The taxonomy of impacts, risks and causes is covered
in Chapter 2.

Download 5,45 Mb.

Do'stlaringiz bilan baham: