Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

CHAPTER
16
Valuable ORM
I
n the introduction, I highlighted the importance of feedback assessment as part of a
risk management framework.
The international standard for risk management (ISO 31000) highlights the
necessary feedback loop in the framework, starting with mandate and commitment
of the risk function and closing with monitoring and review of the framework,
followed by continuous improvement. In 2017, COSO published a new enterprise
risk management (ERM) framework, positioning ERM as the enabler of corporate
performance. This chapter reviews some useful criteria to assess the maturity of an
operational risk management framework, discusses risk-based priorities in the imple-
mentation of a framework, and proposes ways to quantify and demonstrate the value of
risk management.
H O W D O Y O U K N O W I T WO R K S ?
1
C R I T E R I A
F O R A M A T U R E F R A M E W O R K
Some organizations use maturity models, either developed in-house or sourced exter-
nally, to assess the performance of their risk management frameworks. These models
use scaling tables that rate the design and implementation of each part of the frame-
work on a 4- or 5-point scale, ranging from “beginner” to “expert.” Firms self-assess
their current maturity level against their own objectives. They do not necessarily need
to be at “expert” level for all elements of the framework. The box presents a simpler,
yet effective alternative to a maturity model, in the form of a list of quality criteria
for each part of a risk management framework.
1
This question is reported by Douglas Hubbard in the opening chapter of his excellent book
The Failure of Risk Management
(Wiley, 2009); it is my favorite question for risk managers
and directors alike.
171
Operational Risk Management: Best Practices in the Financial Services Industry, First Edition.
Ariane Chapelle.
© 2019 John Wiley & Sons Ltd. Published 2019 by John Wiley & Sons Ltd.

172
RISK MONITORING
I N P R A C T I C E : S O M E K E Y C R I T E R I A T O A S S E S S O R M Q U A L I T Y
A simpler option than a maturity model is to use a set of key criteria to judge
the quality of each part of the framework. I suggest the following tests:
■
Incident data collection is comprehensive across the firm.
■
Risk reporting is fed back to the business lines with benchmarks and com-
parisons across similar entities.
■
Risk assessments are comparable across businesses.
■
Action plans and mitigating actions are based on risk assessment, not just
in response to incidents. They are linked to risk appetite.
■
Results of scenarios identification and assessments are used to improve man-
agement decisions.
■
KRIs are preventive and actively used; they help to avoid or limit incidents.
■
Executive directors understand the concept of risk appetite and purposefully
agree on limits of exposure and necessary controls.
■
Business line managers own risks responsibly and take risk-based business
decisions.
■
Risk management culture is valued throughout the organization, with the
risk function and risk management activities having the explicit support
of senior management.
A R I S K- B A S E D A P P R O A C H T O O R M
Firms that are at the beginning of their journey in non-financial risk management
need to address their top risk priorities first before deploying an ORM framework
one department at a time and reaching the steady state of business as usual in
operational risk. Such a state takes years to achieve. “Tell me where it burns,” the
COO of ING South West Europe said to me on my first week as head of operational
risk. “I don’t care about petty issues.” I never forgot the lesson. The group in my
remit had 11,000 employees and I was alone. Prioritizing was not optional. Before
addressing day-to-day risks, operational risk managers need to identify, address
and mitigate some of the most pressing issues and risks generated by the firm’s
activities.

Download 5,45 Mb.

Do'stlaringiz bilan baham: