Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

CHAPTER
13
Incident Data Collection
I M P O R T A N C E O F L O S S R E P O R T I N G A N D R E G U L A T O R Y
R E Q U I R E M E N T S
As a regulator once said: “Operational risk is the risk of loss resulting from inadequate
or failed internal processes, people and systems or from external events; and if you
don’t know your losses, you miss an essential point of operational risk management.”
Rightly so, most firms consider incident data collection as the bedrock of their ORM
framework. In 2000, the bank-insurance company ING created its first representation
of the ORM framework. It comprised four concentric circles: the loss database formed
the center circle, RCSA the second circle, with KRIs forming the third circle. The
final, outer, circle was “lessons learnt” from large incidents (Figure 13.1). This was
a simple and effective representation of four essential activities in non-financial risk
management.
Internal loss data are a component of the advanced measurement approach and
together with external loss data are the largest driver of regulatory capital for many
firms. The Basel Committee on Banking Supervision has refocused attention on the
incident data collection process and data quality, and the standardized measurement
approach reform, finally published in December 2017,
1
applied an internal loss multi-
plier to the capital charge of banks, penalizing those with a history of large losses.
The role and use of loss data go much beyond regulatory capital requirements. It
is fundamental for risk management: in order to improve an organization’s profitabil-
ity, business performance and internal control environment, you must know where loss
events occur and be able to identify control breaches and weaknesses. Loss data also
inform scenarios, as internal loss data and near misses help scenario identification and
assessment. It finally relates to pillar 2 because the collection, knowledge and anal-
ysis of loss data enhance the management and good governance of operational risk.
This is part of the pillar 2 regulatory requirements for the supervisory review process.
1
BCBS, “Basel III: Finalising Post-Crisis Reforms,” December 2017.
129
Operational Risk Management: Best Practices in the Financial Services Industry, First Edition.
Ariane Chapelle.
© 2019 John Wiley & Sons Ltd. Published 2019 by John Wiley & Sons Ltd.

130
RISK MONITORING
Incident
database
RCSA
Key risk indicators
Lessons learnt
F I G U R E 1 3 . 1
ORM framework
Comprehensive, high-quality data collection and analysis reduce the occurrence and
size of regulatory capital add-ons under pillar 2.
BCBS lists eight criteria for the data quality and collection process under SMA.
They include a required history of ten years; a minimum collection threshold of
€20,000; mapping to Basel event-type categories; and the requirement to report
dates of occurrence and recovery and processes “to independently review the com-
prehensiveness and accuracy of loss data.” However, national regulators have the
authority to waive the internal loss multiplier component for the institutions under
their supervision.
L O S S E S V E R S U S I N C I D E N T S A N D T H E F A L L A C Y
O F N O N- F I N A N C I A L I M P A C T S
Interestingly, the Basel Committee still considers “loss” data in the same way that
banks did in the early part of this century. Indeed, regulators only make it a requirement
to consider the directly identifiable negative financial impact of operational incidents
as losses for regulatory purposes. In contrast, firms consider operational “incidents”
rather than “losses” because most organizations also collect other types of operational
incidents: unintentional gains, incidents without direct financial impacts and near
misses.

Incident Data Collection
131
A near miss is a loss avoided by sheer luck or due to accidental prevention outside
the normal course of controls. Losses avoided because a control worked are not near
misses and neither are events with only indirect financial impacts. The nuance can be
subtle and I have met many firms where near misses are confused either with the normal
course of controls or with other types of incidents. For instance, delays or corrections
leading to client dissatisfaction should be captured as operational risk
incidents
with
indirect financial impacts
. The event does not lead to a direct loss, i.e., a cash out-
flow or impaired future budgeted revenues, except if the dissatisfied customer cancels
a contract or an expected business transaction. From a regulatory perspective, firms
must only report losses that are directly and identifiably linked to the incident. From a
management perspective, it is good practice to record indirect impacts, which are often
called “non-financial impacts.” This term is particularly misleading because so-called
“non-financial impacts” have real financial consequences. Regulatory scrutiny, cus-
tomers’ dissatisfaction, remediation plans and management attention all have concrete
and often costly consequences for organizations. When these consequences are not
evaluated properly, the cost of operational risk and, more generally, the cost of poor
operational performance will be significantly underestimated.
Direct losses result from the event itself. Examples include direct remediation,
time lost, client compensation, regulatory fines and money lost in wrongful transac-
tions. These losses are usually well captured, or at least firms attempt to estimate them.
Indirect losses result from the consequences of the event: loss of customers because of
poor service; damage to reputation through negative referrals; low employee morale
affecting productivity; regulatory scrutiny leading to increased compliance costs; and
increased insurance premiums. Indirect losses are often captured as a vague 1 to 4
impact rating, in line with the impact assessment matrix. Only the most mature firms
monetize their indirect losses – a behavior that is necessary to produce accurate man-
agement information to inform proper decision-making.
T H E F A L L A C Y O F N O N- F I N A N C I A L I M P A C T S
“

Download 5,45 Mb.

Do'stlaringiz bilan baham: