When I see a frown on a customer’s face, I see ,000 about to walk out

132
RISK MONITORING
From a conversation with the head of compliance at a U.K.-regulated finan-
cial firm. Remediation costs are often far bigger than the cost of the incident
itself.
“
The incident itself was small, but it triggered so many meetings that it
captured management attention for about 30 hours.
”
Management attention is another type of impact that is usually unaccounted
for. Capturing these “hidden” costs is likely to create a better risk-based view,
enabling you to avoid micro-managing petty but more frequent and visible issues
and instead concentrate on events and near misses with larger indirect but less
obvious impacts.
I N C I D E N T D A T A C O L L E C T I O N P R O C E S S
D a t a F i e l d s
Every firm typically reports the same set of core data for operational incidents, but
some firms will collect many more data fields than others. From experience, sticking to
the minimum meaningful set of data avoids excessive reporting and wasting resources.
Table 13.1 shows a typical set of useful operational incident data. Incident records
must follow the taxonomy of risks, causes, impacts and controls. Drop-down menus,
or formatted labels of risks, causes and event types, are essential because free-text fields
lead to information chaos when slightly different narratives are created for similar types
of events.
Net losses and gross losses vary because of the amount of money that is recov-
ered through insurance or other reimbursements. Minimum reporting thresholds vary
largely across firms. Some set it at zero in an attempt to capture everything or to sim-
plify instructions to the people in the business who do not need to estimate a loss before
deciding to report incidents. At the other end of the spectrum, some firms set a report-
ing threshold at 10,000 dollar, euros or pounds, more rarely at 20,000, a limit now
validated by the SMA incident data collection criteria. Commonly, reporting thresh-
olds are set at 1,000 or 5,000 monetary unit. From a regulatory perspective, the choice
of threshold should not impact the credibility of the process or impair management
information; the reporting threshold chosen by a firm must be justified and should not
suggest cherry-picking or manipulation of capital requirements.
There are four important dates relating to incidents: date of discovery (when the
event is first identified); date of occurrence (when it actually happened – which may
be long ago); date of reporting (when the event enters the reporting database); and
date of accounting (when the financial impact enters the general ledger). Impacts can

Incident Data Collection
133
T A B L E 1 3 . 1
Common and useful fields in operational risk incident reporting
Unique Incident ID
Place of occurrence (Business Unit/Division) – should be mapped to the risk assessment
units
Event type (level 1, level 2) – aligned with taxonomy – formatted types
Event title
+
description (as standardized as possible)
Cause type (level 1, level 2) – aligned with taxonomy – formatted types
Controls failures – aligned with control library
Date of occurrence/discovery/reporting/settlement
Expected direct financial loss (may evolve until closure)
Impact type: loss/gain/near miss
Indirect impacts (per impact type): often on a impact scale
Recovery (insurance and other recoveries)
Net loss (gross loss minus recovery)
Actions plans (when appropriate): measures, owner, time schedule
Link with other incidents (if any) – for grouped losses and reporting
Other comments if necessary
materialize over long periods, up to many years for very large incidents. Some banks
may also include a date of settlement in their reporting, when all the impacts have
been accounted for. Dates must be used carefully and consistently when reporting inci-
dents because mixing several dates can create large discrepancies between reports. It
is advisable to choose one date type and to stick to it for all reporting.
The difference between the dates of occurrence and discovery reflects the visi-
bility of issues in the organization. The difference between the date of discovery and
reporting shows how diligently operational incidents are reported in the organization.
Most organizations have a policy for incident reporting, specifying the maximum time
that should elapse between discovering an event and reporting it. Best practice dictates
a risk-based approach that will not waste resources in petty risk management. Material
incidents should typically be reported within 2–5 working days, while minor incidents
can simply be included in periodic summary reporting. The required speed of reporting
is often part of the escalation criteria, or “escalation matrix,” where events are escalated
to different levels of management depending on their size.
The size of an incident is commonly judged by its potential impact rather than its
actual materialized impact – which is good practice. The most prudent firms treat near
misses and unexpected gains as if they were both actual loss events. This is because

134
RISK MONITORING
unintentional gains of, say, £500,000 will trigger the same type of reaction and action
plan as a loss of similar size. The same goes for near misses: events should be judged
by how much they could have cost, not what they actually cost. These criteria relate to
gross losses, before recoveries and other mitigating controls that are part of incident
management.
An alternative practice is to judge the severity of an event based on expected
losses, with the caveat that expected losses can be hard to assess at first. There may
also be a reluctance to report large expected losses, for incidents that could trigger
strong reactions, before knowing for sure that the losses will materialize. To overcome
this type of reluctance, I would recommend simplifying the reporting of expected or
potential losses to severity bands corresponding to different escalation criteria or trig-
gering different types of reaction, e.g.,

Download 5,45 Mb.

Do'stlaringiz bilan baham: