Essays on instituting internal audit and risk management in banks

The recent financial crisis of 2007-08 was a watershed moment in the history of banking. The unprecedented event caused severe scrutiny by governments, regulators and standard setters on how the business of banking is run. As a result of the strict scrutiny, a wide variety of reforms aimed at the second (risk management) and third (internal audit) line of defense ensued globally. These reforms involved a variety of actors and not only affected the institution of risk management and internal audit standards, but also their implementation in banks. Motivated by these contemporary events, this thesis examines the institution and implementation of the second and third line of defense in the banking sector. Through the three exploratory field studies, the thesis posits two important contributions. First, the thesis highlights the changing notions of risk measurement and internal audit in the banking sector. More specifically, the thesis (in Paper II) shows how non-convergence of operational risk practices forced regulators to change their activity and detail oriented advanced approach of risk measurement that (unintentionally) allowed the variation to flourish. In a similar vein, the thesis (in Paper III) demonstrates how the extension of internal audit to the non-tangible domain of “risk culture” raises doubts on the notion of “verification” and “control” attached to the practices of internal audit. Second, the findings indicate the different participation approaches of various stakeholders in the transformation of the second and third line of defense. Here, the thesis (in Paper I) demonstrates the separation and mixing of technical information and political rhetoric by the different stakeholders in instituting the liquidity risk standards. On the issue of internal audit of the Basel risk models (in Paper IV), the thesis demonstrates the filtering approaches of multiple institutional demands by the internal organizational conditions that enable full or partial agency of low-level internal auditors. Given the findings, the thesis explicates two important implications for practitioners. First, the findings of the thesis indicate that reformulations of risk management and internal audit would require standard setters, regulators, and practitioners in understanding a balance between what to control and whom to empower. Second, organizations need to carefully design what level of freedom to be given to internal audit and risk control teams and how to manage complex institutional demands through organizational structure and skilling initiatives.

La recente crisi finanziaria del 2007-08 ha rappresentato un momento spartiacque nella storia del settore bancario. L'evento senza precedenti ha indotto il rigido scrutinio da parte di governi, regolatori e organismi deputati alla definizione di standard sulla gestione del business bancario. Come risultato del rigido scrutinio, si sono susseguite globalmente un'ampia varietà di riforme, volte alla seconda (gestione del rischio) e terza (internal audit) linea di difesa. Queste riforme hanno coinvolto una varietà di attori, influenzando non soltanto le istituzioni deputate alla definizione degli standard per la gestione del rischio e l'internal audit, ma anche l'implementazione di tali standard all'interno delle banche. Motivata da questi eventi contemporanei, la tesi esamina le istituzioni e l'implementazione della seconda e terza linea di difesa nel settore bancario. Attraverso tre studi empirici di tipo esploratorio, la tesi offre due importanti contributi. In primo luogo, evidenzia le mutevoli nozioni di misure del rischio e internal audit nel settore bancario. Più specificatamente, la tesi (nel Paper II) mostra come la mancata convergenza delle pratiche per la gestione del rischio operativo forzi il regolatore a cambiare l'attività e l'approccio orientato ai dettagli delle misure di rischio, che (inintenzionalmente) hanno consentito alla variazione di prosperare. In modo analogo, la tesi (nel Paper III) mostra come l'estenzione dell'internal audit al dominio non tangibile del “cultura del rischio” aumenti i dubbi inerenti le nozioni di "verificazione" e "controllo" associate alle pratiche di internal audit. In secondo luogo, i risultati mostrano i differenti approcci partecipativi dei vari stakeholder nella trasformazione della seconda e della terza linea di difesa. Dunque, la tesi (nel Paper I) dimostra la separazione e il mix delle informazioni tecniche e della retorica politica dei diversi stakeholder nell'istituzione degli standard per la gestione del rischio di liquidità. In merito al problema di internal audit dei modelli di rischio Basilea (nel Paper IV), la tesi dimostra gli approcci di filtraggio delle molteplici richieste istituzionali da parte delle condizioni organizzative interne, che abilitano la completa o parziale agenzia degli internal auditor di livello inferiore. Considerando i risultati, la tesi rivela due importanti implicazioni per i practitioner. In primo luogo, i risultati della tesi indicano che le riformulazioni della gestione del rischio e dell'internal audit richiedano che gli organismi deputati alla definizione degli standard, i regolatori e i practitioner definiscano un equilibrio tra cosa debba essere controllato e chi vada responsabilizzato. In secondo luogo, le organizzazioni devono progettare attentamente il livello di libertà da dare alle funzioni di internal audit e ai team di controllo del rischio, e come gestire le complesse domande istituzionali per mezzo della struttura organizzativa e delle iniziative di skilling.