Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

58
RISK ASSESSMENT
Note that only colors or qualitative ratings qualify the risks. A still widespread
mistake is to multiply probability and impact to reduce risks to a single numerical
quantity. Indeed, a frequent and low-impact risk (1
×
4) is not the same as a rare event but
with extreme impact (4
×
1). Performing arithmetic on qualitative ratings is inaccurate
and can produce misleading results.
Aggregating RCSA results can be challenging, especially when qualitative impact
scales are used. This is why some firms have returned to impact scales expressed only in
financial terms. Indirect potential impacts on customer experience, regulatory scrutiny
and remediation costs are quantified in financial terms and added to the total impact.
Part 4 of this book addresses risk-reporting challenges in more detail.
C A S E S T U D Y – A M O D E R N R E P R E S E N T A T I O N
O F R C S A
Figure 6.6 replicates the group RCSA matrix of a mid-size insurance company in
Europe. Instead of using similar-size squares or rectangles we decided to repre-
sent each rating box with a size roughly proportional to its range. Almost certain
events (
>
50%), the largest frequency, are longer than the second range of likeli-
hood (1/2 to 1/6) and so forth. Similarly, the impact boxes are wider if the ranges
of impacts are more severe. The matrix is not exactly to scale, but it gives a better
representation of the magnitude of the risk exposures.
5
Once a year
Every 1 to 3 years
Every 3 to 10 years
Every 10 to 20 years
V
ery unlikely (less than 5%)
4
3
2
1
5
4
3
2
1
<200k €
<1 M €
<5 M €
<50 M €
>50 M €

Download 5,45 Mb.

Do'stlaringiz bilan baham: