Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

46
RISK ASSESSMENT
Board:
capital
Business lines:
risk and reaction
Business units:
RCSA, KRIs, loss data
Business support executives: KRIs and
loss data
Different for
m
s of
risk appetite
expressions 
F I G U R E 5 . 4
Alignment of the framework to the different forms of risk appetite expression
T Y I N G R I S K A P P E T I T E W I T H T H E R E S T
O F T H E F R A M E W O R K
Alongside qualitative statements, risk appetite has different forms of expression within
the firm, as illustrated in Figure 5.4. The pyramid summarises some of the findings
of an expert group on risk appetite hosted by the Financial Services Authority, the
UK regulator at the time. It shows that at board level, the level of capital the firm
holds, compared with the minimum regulatory requirements, reflects risk appetite. This
is similar to the common concept of
sur-solvency
in insurance companies (see case
study).
At business line level, risk appetite is reflected in the actions to be taken by man-
agement in the face of certain risks. Risk management tools communicate risk appetite
and tolerance within businesses and divisions, and in each risk assessment unit. The
risk scales or definitions of risk ratings reflect risk appetite. The colors of the risk and
control self-assessment matrix (heatmap), where each combination of impact and prob-
ability corresponds to a color representing a risk above risk appetite (amber and red)
or within risk appetite (yellow and green), will trigger risk mitigation actions if risk
appetite is breached. This common operational risk management tool is presented in
the next chapter. Firm-wide KRIs are another expression of a firm’s risk appetite. Their
selection and thresholds are linked to the level of accepted risk-taking by the organi-
zation. Chapter 14 details the concepts, selection and design of KRIs for operational
risk. Finally, risk appetite is expressed as a tolerance level for losses. Often, the con-
cept of loss data is extended to the more general case of operational incidents causing
non-financial impacts such as business disruption, delays in execution, stakeholders’

Risk Appetite
47
detriment and reputation damage. Monitoring the level of all these types of impact is
another way to both ensure and demonstrate that the firm operates within risk appetite.
At business support level, risk appetite is expressed by bottom-up, process-based
KRIs. These indicators are essential in the day-to-day monitoring of the activities.
The more essential the activity, the lower the risk appetite and the more numerous
and strict the operation’s KRIs. These KRIs comprise the body of alerts, flags, thresh-
olds and other monitoring and activity-tracking devices embedded in a firm’s systems
and processes. Finally, monitoring incident levels that have financial and non-financial
impacts, in comparison with tolerated levels, will help to demonstrate whether the orga-
nization operates within risk appetite.
C A S E S T U D Y : A F T S E 1 0 0 F I R M B O A R D- L E V E L
R I S K A P P E T I T E
[The firm’s] available capital remains at all times xx% above its regulatory capital
(green level) – it is reported as amber if it falls below that percentage and red if
it falls below yy%.
[The firm] aims to protect its brand value at all times by offering the best
customer services; each complaint or poor customer experience needs to be
remediated fully and as soon as possible.
[The firm] does not tolerate any deviations in ethics by its personnel. All
cases will be sanctioned.
Putting it all together, a perfectly consistent framework would look like Figure 5.5.
There is an overarching risk appetite statement tied to the firm’s strategic priorities
and articulated in risk-taking and risk-mitigating actions per risk level 1 of the risk
taxonomy. Tolerance levels, corresponding key performance indicators (KPIs), KRIs
and control requirements relate to level 2 risk definitions in order to contain potential
adverse events within the limits in the RCSA matrix (or heatmap) in terms of couple
probability/impacts. The impacts are defined according to the firm’s taxonomy, which
is usually: financial, regulatory, customer service and reputation.
H O W M U C H I S T O O M U C H ?
How can we tell if a firm takes too much risk? An obvious answer is when risk expo-
sure, i.e. the exposure to possible losses, exceeds the firm’s capacity to absorb loss. In
other words, it would wipe out its capital. It’s unlikely, however, that a firm, let alone

Trim Size: 152mm x 229mm
Chapelle549048
c05.tex
V1 - 10/30/2018
2:53pm
Page 48
k
k
k
k
48
Overarching risk
appetite state
m
ent
I
m
pact taxono
m
y
Risk taxono
m
y

Download 5,45 Mb.

Do'stlaringiz bilan baham: