Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

Risk Definition and Taxonomy
23
Level 1 is the highest-level category, level 2 is a detailed version of level 1 and
level 3 provides even more detail. The Basel Committee recognizes only two levels of
regulatory categories, with level 3 reserved for examples and illustrations. We support
that view. The number of risks to assess, manage and report needs to be kept at a
reasonable level. Too much detail is detrimental to the quality of information and is
difficult to review. It drains effort and resources without corresponding benefits.
While firms are required to map risk categories to the Basel categories, the classifi-
cation doesn’t have to define a firm’s risk taxonomy these days. This simple taxonomy
might have been effective some ten years ago, but it is no longer a good idea. The
Basel classification was drafted almost 20 years ago, in the late 1990s, and does not
fully reflect current risk exposures across the financial sector. Technology advances
have completely transformed the financial services industry since Basel 2 was drafted,
and mass digitization has led to a huge increase in cybercrime. Business transformation
and wider international operations have multiplied the risks of outsourcing, of project
and change management, and of information management. Finally, the 2008 financial
crisis underlined the need for better regulation, with a particular focus on business
practices, now renamed “conduct,” and on anti-money laundering (AML) controls,
enforceability of international sanctions and prevention of tax-evasion mechanisms. In
light of these global developments, new risk categories have emerged that are insuf-
ficiently represented in the Basel classification’s seven risk categories, especially for
internationally active institutions.
R I S K M A N A G E M E N T T A X O N O M Y
The distinction between cause, risk and impact is a recurrent puzzle in almost every
firm. Risk management taxonomy is an important step toward solving this puzzle. A
dictionary definition of taxonomy is a “scheme of classification.” In risk management,
it means not only categorizing risks but also recording the causes, impacts and controls
as a MECE system: Mutually Exclusive and Collectively Exhaustive. Figure 3.1 shows
the structure and components of a risk management taxonomy.
The Basel definition of operational risk is a valuable starting point for categorizing
causes, risks and impacts: “The risk of loss resulting from inadequate or failed internal
processes, people and systems or from external events” (bis.org).
First is the risk of loss. In the late 1990s, the Basel Committee considered finan-
cial losses only. Reputation damage was added as a type of non-financial loss, and
by the early part of this century, every institution I met was including the risk of rep-
utation damage as part of its operational risk management. Since the financial crisis
of 2008, the vast majority of firms have included the impacts of operational risks on
regulatory compliance and on customers. Thus, there are now four commonly used
categories for the impacts of operational risks: financial loss, reputation damage, regu-
latory non-compliance and customer detriment. For firms where continuity of services

24
RISK IDENTIFICATION
Cause
categories
Risk
categories
I
m
pact
categories
Control
categories
F I G U R E 3 . 1
Risk management taxonomy
is particularly important, such as online financial services or trading platforms, service
disruption is another common category of impact.
Usually, negative impacts are simply defined by one word:
Finance
,
Reputation
,
Compliance
,
Customer
. Personally, I prefer more precise definitions to avoid confu-
sion or misunderstandings. These categories of impacts are very common among many
firms and stay at a level 1 definition. In most of the firms I observed, there are no fur-
ther subdivisions to these categories of impacts. However, there will be subdivisions
in levels of intensity as part of the risk assessments, presented in Chapter 6.
Now let’s consider the causes. Basel defines operational risk as
due to
failed or
inadequate people, processes, systems or external events: PPSE. These four initials
are quite useful to explain the nature and drivers of operational risk to everyone in
an organization. Many firms have adopted some form of categories of causes for
operational risks, and normally these four. The categories do not always progress to
level 2. This is regrettable because a finer categorization provides useful insights into
the causes of incidents and also helps to select leading key risk indicators, as detailed
in Chapter 14. Table 3.2 provides some examples of cause categories at level 1 and
level 2.
So far we have defined the impacts and the causes. Next, categorizing internal con-
trols should be easy enough, since the practice of internal controls is well-developed
and the internal audit discipline has provided quite a lot of structure in the field.
Chapter 10 focuses on risk mitigation through internal controls. The four main
categories of control are defined as:
■

Download 5,45 Mb.

Do'stlaringiz bilan baham: