Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

150
RISK MONITORING
K R I D E S I G N : N U M B E R , T H R E S H O L D S
A N D G O V E R N A N C E
KRI design relates to the detail of data capture and the frequency, thresholds and gov-
ernance of who reports and who acts on KRI breaches.
S e l e c t i n g K R I s : N u m b e r a n d D a t a
How many KRIs should you use? I suggest the
minimum meaningful
: preferably no
more than one KRI per main risk driver of likelihood and driver of impact. To avoid
redundancy and information overload, do not capture the same type of information
under different forms.
Most operational risk drivers are common knowledge. Internal fraud drivers
include financial pressures, lax environment, resentment toward the company and
non-segregation of duties. IT disruption drivers relate to overcapacity, overdue
maintenance of systems or rushed testing. However, the many validated KRIs that
specialists use every day are labeled differently depending on where they are collected.
They might be called logs, issue logs, breaches, key performance indicators, control
breaks, concentration factors and events, without risk managers realizing that most of
the KRIs they need are already monitored in specialist departments.
The first task for a risk manager in charge of KRI selection and reporting is to
make an inventory of what exists in the firm, to avoid duplication and identify any
gaps. This requires understanding the mechanisms behind incidents and near misses,
or at least a few conversations with specialists, to identify the risk drivers and their
metrics. However, not all causes need to be monitored by KRIs, nor will they all be
suitable as proxies and measures. As tempting as leading KRIs may be, they need to
be filtered to achieve maximum reporting value and must be validated by experience.
To save costs and efforts in reporting, firms should preferably choose KRIs among
the metrics that are already captured as part of the monitoring and possibly under a
different name. Moreover, data captured automatically are preferable, to save costs
and efforts.
Even so, before drafting the list of possible indicators, it is good to have an open
mind when considering all the possible risk drivers without restricting oneself by the
availability of data. Indicators should aim to track issues and vulnerabilities, in order
to fix them and increase the firm’s resilience; their primary role is not demonstrating
a steady performance of the business. In many firms, directors and senior managers
become nervous when indicators keep flashing green. Their suspicion is often justified,
or at least understandable: either they live in a perfect world, the organization doesn’t
know what to track, or the design metrics are calibrated so that they produce a green
report all the time. I remember a manager in a U.S. organization who handpicked KRIs
in a way that ensured his department reported 100% green KRIs at every period. His
green-fingered approach earned him the nickname “the English Garden.”

Key Risk Indicators
151
Selected KRIs should have three qualities – they must:
■
capture a risk cause
■
have data that are already available in the organization (or easily collectable)
■
measure a risk cause to which the organization is vulnerable.
For instance, if a firm pays well but doesn’t have very good managers and this is
affecting staff retention, there is no point tracking a KRI for pay gap to market rate,
but there is value in tracking the 360 review of team managers and other staff sur-
vey results. This is the main reason I don’t recommend using commercial databases
with thousands of possible KRIs. Because they are broad-brush, with so many possi-
ble metrics, it would take a long time and much effort to filter information so that it is
relevant to the risk profile of your firm. Rather than run the risk of being overwhelmed
by unfocused metrics, I encourage firms to network with peers. Membership-based risk
associations are a good example and the entry fees are cheap compared with the wealth
of information they offer. In addition, some websites provide open-source risk man-
agement tools. Finally, data consortia offer services way beyond data pools, including
benchmarking and guidance around scenario methodology, modeling, taxonomy, risk
appetite, and meetings and surveys with members.
Figure 14.3 presents a fictitious example of a KRI dashboard for human error in
credit processes, although it was inspired by a real case study. KRIs of human error
typically relate to experience, proxied by time on the job, and workload. KRIs on results
of key control testing are also valuable.
T h r e s h o l d s a n d K R I D e f i n i t i o n s
KRI thresholds are one way of expressing risk appetite throughout the organization,
with a lower threshold typically linked to lower risk appetite.
Options for KRI thresholds include:
1.
Zero for risks for which firms have the lowest appetite; or x% above zero, ‘x’
depending on appetite; this requires defining KRI as an issue, not a simple expo-
sure number.

Download 5,45 Mb.

Do'stlaringiz bilan baham: