Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

174
RISK MONITORING
money flows with high numbers of transactions, as they are natural breeding
grounds for operational risk.
2.
Action plan design and follow-up on high residual risks identified above
appetite or above management’s comfort zone if risk appetite is not precisely
articulated. Mitigating risks as they are uncovered makes a lot more sense
than doing a firm-wide assessment first and mitigating next – if a pipe is
leaking in your house, you will not run a full assessment of all the other
rooms before calling a plumber.
3.
Taxonomy of risks, impacts, causes and controls: categorizing risks and
controls in a formatted list is a necessary prerequisite for any useful risk
assessment. A proper taxonomy and definition of risks, controls and impacts
is often lacking, especially in tier 2 and tier 3 institutions.
4.
Risk and incident reporting analysis and thematic action plans: reporting is
fair, analysis and diagnosis are good, acting on diagnosis is best practice.
Make sure reporting matters for decision-making and actions.
5.
Risk training for the business and lean risk function: lean risk management
departments are in line with best practice – mature banks delegate most
risk management activities to the business, keeping only a central team
specialized in risk assessment methodology, monitoring and reporting.
To achieve this, organizations need to train business lines on the scope
of operational risk, the benefits of risk management, key methods to
identify and assess risks, and how to reports incidents. It does not happen
overnight.
6.
BAU ORM: once these priority activities are completed, you can start
deploying business as usual in operational risk. This includes completing
incidents reporting, finalizing a bank-wide risk register and refining risk
appetite limits, generalizing key risk indicators, and establishing regular
risk and event reporting and analysis.
7.
Selection or development of an IT ORM solution, integrated with existing
systems: it is only when ORM has reached a steady state that I would rec-
ommend considering risk software solutions. The “nice to have” of ORM
software may not be so nice and may even be detrimental if implemented in
an unprepared environment. Just as importantly, the solution needs to fully
integrate the existing systems and feed from other data sources in the orga-
nization to avoid multiplying data capture.

Valuable ORM
175
D E M O N S T R A T I N G T H E V A L U E O F R I S K M A N A G E M E N T
It is not an easy task to get risk managers accepted by the business, never mind liked,
and the threat of regulatory non-compliance is no great incentive. A far better approach
is to demonstrate the value that risk management adds. It is optimistic at best, and
somewhat unrealistic, to try advocating to the business the value of risk management
without any hard evidence. Resources and investments in risk management should fol-
low the same logic as business investments: build a business case for operational risk
management before arguing its benefits. Despite what some may think, measuring the
value of operational risk management is not synonymous with the impossible task of
demonstrating what has not happened. True, a key role of operational risk management
is to prevent incidents and accidents, but that is not the only role.
Beyond the minimum requirements of capital and compliance, it is now generally
accepted that operational risk management brings value to the business by allowing
better decision-making. Over time, risk management matures and becomes an essential
element of business performance.
The business value of better decision-making takes different forms and can be
measured in many ways (Table 16.1). Reducing large losses, one of the most obvious
goals of ORM, brings business stability that is reflected in, amongst other things,
the share price for listed firms (after correcting for general market movements),
besides a count of losses and severity trends compared with those of peers. General
profitability is improved by reducing recurrent losses, provided there is a necessary
cost-benefit analysis of controls: expected loss avoidance needs to be larger than the
cost of the controls and other risk mitigation mechanisms. In 2008, an international
AMA bank asked me to assess the value generated by the review of its operational
risk management framework. The case study presents the substance of this baselining
exercise.
A third important component of business value is productivity increase. With
fewer incidents, less time is spent on impact mitigation and remediation, freeing
resources for more productive activities. Project management also is now system-
atically included in the scope of operational risk management, helping to reduce
project failures, as detailed in Chapter 17. Finally, one of the key roles of the risk
function is to advise on the strategic and investment decisions of the firm, balancing
risk with reward and offering a cost-effective solution for risk mitigation. Mature
organizations include risk in all their decisions, in order to achieve better outcomes,
higher success rates and sustainable long-term growth. Building a business case for
risk management by evidencing its benefits beyond the default argument of capital
reduction and regulatory compliance empowers risk managers to fulfill their true
corporate role.

176
RISK MONITORING
T A B L E 1 6 . 1
Metrics for business value of risk management
3

Download 5,45 Mb.

Do'stlaringiz bilan baham: