International financial firm: legal & compliance risk

44
RISK ASSESSMENT
T A B L E 5 . 1
(
Continued
)
Risk appetite statement
Risk tolerance statement
Reputation risk (arising from third party)
“[The firm] has a very low risk appetite for
any reputation damage resulting from
unethical or controversial behavior by its
suppliers and third-party providers.”
“Onboarding procedures and screening
controls are set up so that no known
deviations to the firm’s ethical standard are
occurring in the firm’s third parties. Any
deviation will lead to the dismissal and
removal of the third party as quickly as
reasonably practicable from one day up to
three months. In this period, remediation
programs and communication plans with
relevant stakeholders will be executed.”
Risks, level 2
Risk owner
Level 1 risks
Appetite state
m
ent per key risk
Tolerance state
m
ent
per risk level 2
F I G U R E 5 . 3
Risk appetite and tolerance governance structure
Often, however, tolerance levels are expressed more easily at the second level of
the risk taxonomy. This is because definitions of level 2 risk are more specific and more
adapted to quantitative limits and restrictions. In a number of firms, mature risk appetite
structures are similar to the one described in Figure 5.3. Risk owners are designated
and risk appetite statements are defined for each level 1 risk, while risk tolerances are
defined at level 2 risks and tied to further risk limits and control requirements.
T O P- D O W N A N D B O T T O M- U P A P P R O A C H E S
T O R I S K A P P E T I T E
Risk management theory states that risk appetite must be defined top-down, begin-
ning with the board, with risk exposure allocated to the different businesses and
translated into the corresponding risk management measures at different levels of the

Risk Appetite
45
organization. This is the approach described earlier in this chapter and the one recog-
nized by regulators and risk institutes. It mostly applies to the businesses, divisions or
risk types that so far have little in place for risk assessment and monitoring.
There is, however, a different, more pragmatic and possibly easier way to define
risk appetite: namely, bottom-up. The head of operational risk in an international orga-
nization told me once: “Risk appetite is the sum of what you are doing.” That’s exactly
right: while an organization expresses its risk appetite explicitly, its overall actions and
safety measures are an implicit reflection of its attitude toward risk. In the same way,
some people are naturally more risk-averse than others and their attitude to risk will
be revealed in their individual behaviors. Table 5.2 illustrates some of the business
requirements for certain top-down risk appetite statements.
Defining risk appetite bottom-up will create risk appetite and tolerance statements
that reflect the accepted level of risk-taking in a firm, which can then be observed
in its business practices and policies – assuming they are effectively applied and fol-
lowed, with internal controls, thresholds, and monitoring all in place. This method is
particularly useful in well controlled and risk mature environments. I recommend it to
mid-size organizations (size complicates bottom-up exercises) that have generally well
documented and controlled business operations but find it difficult to describe their risk
appetite.
Moreover, comparing the results between a top-down risk appetite statement and
bottom-up observations may reveal interesting gaps and, sometimes, wide discrepan-
cies between what senior management say should not be tolerated, and what is really
happening within the organization. When I was helping an organization’s department
heads to define risk appetite limits, one of the heads said: “What are intolerable inci-
dents? Like the one that happened last week?” In organizations like these, either the
board risk appetite statements need to be relaxed, or the exposures and controls need
to be seriously tightened.
T A B L E 5 . 2
Top-down and bottom-up: the reality checks of risk appetite

Download 5,45 Mb.

Do'stlaringiz bilan baham: