Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

CHAPTER
14
Key Risk Indicators
I N T R O D U C T I O N
Key risk indicators are the heart of monitoring, of performance, of risks and of control
effectiveness. This chapter explores these indicators and focuses on preventive risk
indicators, which in several instances are the same metrics as performance and controls
indicators.
KRIs for operational risk have attracted considerable attention in recent years.
The need for predictability and control is a priority in the business world, and many
boards of directors now ask their senior managers and risk managers to compile a list
of leading KRIs. KRIs were identified as primary information in 68% of the opera-
tional risk profile reports of the institutions surveyed by Protiviti and risk.net at the
end of 2014.
1
The majority of respondents (60%) also use KRIs to assess their control
environment and operating effectiveness and to gain confidence in the risk profile of
their organization.
Many organizations struggle to gain a clear view of what constitutes an efficient
suite of KRIs. We can count on one hand – maybe two – the number of financial firms
that are fully satisfied with their KRIs.
R O L E S O F R I S K I N D I C A T O R S
KRIs are used for a number of purposes in the management of operational risk and the
overall management of an organization. In relation to operational risk, KRIs have the
following essential roles:
■
monitor risk-taking and the potential impacts of risk events on the organization
■
translate risk appetite, defined at board level and possibly also at the operational/
business unit level
1
Protiviti, “Forward march – Op risk integration strides on – survey results,” Dec 2014, risk.net
141
Operational Risk Management: Best Practices in the Financial Services Industry, First Edition.
Ariane Chapelle.
© 2019 John Wiley & Sons Ltd. Published 2019 by John Wiley & Sons Ltd.

142
RISK MONITORING
■
provide an objective and documented way of demonstrating effective risk moni-
toring and mitigation in the organization.
R i s k M o n i t o r i n g
Risk indicators are used to track changes in an organization’s exposure to operational
risk. When selected appropriately, indicators should flag any change in the likelihood
of a risk occurring or its possible impact. Leading indicators, i.e., indicators that flag
a risk before it crystallizes, are most useful in this regard. Therefore, leading KRIs
will concentrate on the metrics of risk drivers, also called risk causes or risk factors.
Figure 14.1 illustrates well-known leading KRIs of car accidents: speed and lack of
vigilance, through tiredness, medication of alcohol, all legally regulated. Risk drivers
can increase the likelihood of a risk, its impact, or both. So-called “lagging KRIs,”
tracking events that have already occurred, are a specific form of incident reporting
that flag weaknesses that need to be corrected in the control system.
G i v i n g A s s u r a n c e t o t h e B o a r d
The UK Corporate Governance Code of May 2010 states that “the board is responsible
for determining the nature and extent of the significant risks it is willing to take in
achieving its strategic objectives ( . . . ) and should maintain sound risk management
and internal control systems.” Defining a relevant, specific and actionable risk appetite
results from a mature risk management process. Assessing the risks that a business is
willing to take and maintaining “sound risk management and internal control systems”
requires the identification and assessment of the key risks that may negatively impact
the business objectives, the evaluation of the current exposure to those risks and the
definition of additional controls if this exposure is judged excessive. Because KRIs
Leading KRIs = Metrics of risk drivers
Causes
Risks
Events
I
m
pacts
F I G U R E 1 4 . 1
Preventive KRIs Illustrated

Key Risk Indicators
143
enable a firm to monitor risk-taking in relation to risk appetite, essentially by
overseeing the exposure to risk and the effectiveness of controls, they help to achieve
this objective.
R I S K A P P E T I T E K R I S
Risk appetite KRIs are now common in a majority of firms. Risk appetite state-
ments are complemented by metrics quantifying risk appetite limits set by the
board, but these metrics are rarely leading or preventive KRIs. Instead, they
represent the performance of the firm’s control environment, which adds to the
confusion and debate over which metrics are KPIs and which are KRIs. They are
often the same, but viewed from a different perspective.
Many risk appetite KRIs are obvious, such as the number and severity of
incidents, and some are common but not very useful, such as turnover and cus-
tomer complaints. Turnover is meaningless when reported on average: it hides
the turnover of high performers and of key people in control functions, such
as the cybersecurity team. Client complaints are strong lagging metrics, and if
there are numerous complaints, it will be the tip of an iceberg of customer ser-
vice and operational issues that have been neglected. Leading KRIs, even at
risk appetite level, relate to increased exposure to risk, shortages of resources
and control failings. Near misses also are important KRIs but rarely considered
as such.
R e f l e c t i n g B E I C F
The strength of an organization’s KRI program reflects the strength of its risk manage-
ment function. When KRIs are comprehensive and can reliably monitor the level of key
risks faced by an organization, they are a useful indication of the organization’s level of
risk management and control. In this context, they can be included as part of the mod-
eling of operational risk for the AMA and IMAP (internal model approval process),
reflecting the fourth mandatory components of modeling methodology: BEICF.
For financial institutions that calculate and hold operational risk capital under more
advanced approaches, there is a specific requirement to include BEICF in their capital
estimation and allocation processes. While the definition of BEICF differs from one
jurisdiction to another, and in many cases is specific to individual organizations, these
factors must:

Download 5,45 Mb.

Do'stlaringiz bilan baham: