Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

Incident Data Collection
135
C A S E S T U D Y : N O R D I C B A N K’ S “ T H A N K Y O U” N O T E
To facilitate reporting, a large Nordic retail bank centralizes the recording of
operational incidents, with four people in the ORM team dedicated to filling out
operational incident forms. When incidents arise, a call or an email to the ORM
team suffices. The operational risk manager talks through the incident details
and completes the form. This straightforward process has two main advantages.
First, because it is not too much bother, it overcomes one reason why people
are reluctant to report. Second, it ensures far better data quality, in particular
regarding categorization of risk events, causes and various impacts.
In addition, the risk team will thank anyone who reports an incident or sends
information about risk and issues. Because risk managers respond with “thank
you” notes, it creates positive reinforcement and encourages future cooperation.
This is the best practice I have witnessed so far. And because it is in a large
bank, it demonstrates that corporate size is not an impediment to a centralized
recording process and effective communication between business lines and risk
function. The excellent relationship between the first and second lines of defense
in this bank is no coincidence.
If it requires effort and openness from the business lines to report incidents and
near misses, people are entitled to get some recognition in return. The risk team must
provide clarity on how the collected data will be treated and analyzed and should pro-
vide feedback on the data. Feedback from the risk function to the business, preferably
with benchmarking across similar departments and in comparison to firm-wide values,
is a powerful encouragement to report. Finally, the overall value for the business will
depend on how the risk function responds to the data collected, for example by assist-
ing in the design of action plans, supporting risk mitigation when needed or advising
on how to improve processes so that events do not reoccur. Only mature risk functions
inspire high levels of transparency and voluntary reporting.
P r o c e s s : I n c e n t i v i z i n g T i m e l y S e l f- R e p o r t i n g
In terms of incentives to report, practice ranges from soft encouragement to stringent
oversight. I know at least one bank where internal audit scans emails to identify unre-
ported incidents. Soft incentives are more often present in small organizations or where
senior management is insufficiently supportive of ORM.
More commonly, self-reporting of incidents is required, with the threat of
consequences/disciplinary action if unreported events are subsequently discovered.
This may include escalation to the executive committee, to the risk committee and to

136
RISK MONITORING
internal audit, and possible penalties on the management’s balance scorecard. In the
early 2000s, a bank was incentivizing management to report incidents and penalizing
entities where events reported were suspiciously low. This practice has become rare
now, but incentivizing self-reporting is a good practice.
Most organizations now include risk metrics in the balanced scorecard of their
managers. The design, relevance and enforcement of the scorecards will vary from firm
to firm, so even if the intention is commendable, you must be wary of poorly designed
incentives leading to unintended consequences. Examples of operational risk metrics
in scorecards include existence and frequency of risk committee meetings, overdue
action plans, overdue audit recommendations, timeliness of incident reporting, KRI
status and number of risks above appetite.
Sophisticated banks have been using a system of economic capital allocation since
the late 1990s. Economic capital is allocated to business lines according to their risk
profiles, which in turn are influenced by a number of metrics in credit, market, liquidity
and operational risks. The higher the risk profile, the higher the consumed capital,
which means higher funding costs and therefore lower profits when higher risk-taking
is not properly compensated by higher returns.
B O U N D A R Y E V E N T R E P O R T I N G
Boundary events are those that materialize in a different risk class than their cause,
such as a credit loss aggravated by the wrong recording of collateral or a market loss
due to an unintentional error in booking a position. The pragmatic view is to leave
the recording of the events where they materialize, without trying to disentangle the
cause. This is the view adopted by the Basel Committee, at least for credit risk, as
long as the credit loss recorded is covered by the risk-weighted asset credit capital.
2
The position of Basel is understandable because regulators focus on the sufficiency
of capital coverage, regardless of whether the losses are recorded as credit or opera-
tional risk. From a management information perspective, however, the more common
practice is to insist on reclassifying boundary events into their original risk class, dig-
ging out the causes of credit and market incident, at least for losses above a given
threshold. Although this makes sense in theory, in practice it can generate consider-
able resistance from the business lines, which may question the value of the exercise
and possibly feel unfairly investigated, especially when the recording applies to small
recurrent losses and without a regulatory requirement. Therefore, I recommend striking
a balance between the resistances generated by the reclassification of boundary events
2
BCBS, “Basel III: Finalising post-crisis reforms,” December 2017, p 131. Market risk losses
due to operational risk though must be recorded under SMA, the reason being that market risk
capital calculations are based on value-at-risk and not on past losses.

Download 5,45 Mb.

Do'stlaringiz bilan baham: