apetito de riesgo libro.original

Definición e implantación de

Apetito de Riesgo

BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA


Apetito de Riesgo



MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Teresa Gil Aldea. Repsol

David Comellas Batlle, CRMA. Mutua Universal

Iratxe Galdeano Larisgoitia. PwC

Luis Alberto Hernández Videla, CIA. Refresco Iberia

Ana Jiménez Jiménez, CIA. Telefónica

Juan Jiménez Navas. PwC

Jesús Lafita Fernández, CIA. Control Solutions

Carlos Llorente Baranda. MAPFRE

Víctor Manuel Martin Giménez. Ernst & Young

Carlos Muñoz Vega, CIA, CRMA. NH Hoteles

Carolina Werner Alcón. Deloitte

3

Gestionar la incertidumbre para crear valor de manera sostenible. Ésta es la pre-

misa con la que trabajamos las empresas, pero formalizar esa gestión de la incer-

tidumbre a través de la implantación de un sistema de gestión de riesgos es un

gran paso adelante que mejora no sólo la gestión de las compañías sino la acti-

tud de toda la organización hacia los riesgos, reforzando la cultura corporativa

con la fijación de límites que formen un vínculo dinámico entre la estrategia, los

objetivos de la organización y la gestión de los riesgos.

Felicito al Instituto de Auditores Internos de España por su iniciativa de LA FÁ-

BRICA DE PENSAMIENTO, el recién nacido think tank español que, con vocación

divulgadora, ayudará a quienes tenemos responsabilidades de liderazgo en las

empresas de habla hispana a tener una visión clara y rigurosa de las claves de

éxito a la hora de emprender mejoras en el gobierno de nuestras organizaciones.

Esta Guía, primera producción de LA FÁBRICA DE PENSAMIENTO, es un trabajo

esquemático y detallado sobre el proceso de definición e implantación del apeti-

to de riesgo por parte de la Alta Dirección que pone el foco en las cuestiones cla-

ve que los Consejos de Administración y la Alta Dirección deben considerar a la

hora de definirlo e implantarlo con éxito, y así pasar de métricas y métodos de

evaluación de riesgos a decisiones de negocio y de reporte.

.

Antonio Huertas

Presidente de MAPFRE


5

Presento con una enorme ilusión esta primera producción de LA FÁBRICA DEPENSAMIENTO, el think tank del Instituto de Auditores Internos de España quenace con el objetivo de generar conocimiento útil que ayude a los Consejos deAdministración y la Alta Dirección de las empresas de habla hispana en su tomade decisiones en materia de gobierno y gestión de riesgos.

Desde el Instituto de Auditores Internos de España agradecemos sinceramente elpatrocinio de esta edición a MAPFRE y a su Presidente, Antonio Huertas, su de-cidido apoyo a nuestro laboratorio de ideas.

Esta Guía sobre Definición e Implantación del Apetito de Riesgo es el fruto deltrabajo de expertos, socios del Instituto de Auditores Internos de España, queempezaron a trabajar en septiembre de 2012.

Expone los conceptos principales, las distintas utilizaciones, metodologías deaproximación y cálculo, y una propuesta esquemática sobre cómo implantar elapetito de riesgo en una organización.

La Guía parte de la premisa de que toda empresa lleva a cabo sus operacionescon el fin de crear valor. Pero este fin no puede alcanzarse sin asumir ciertos ries-gos: gestionar una empresa implica gestionar riesgos y, para poder hacerlo congarantías, las empresas deben definir su sistema de gestión de riesgos.

Una pieza relevante de este sistema es la fijación del apetito de riesgo: la canti-dad de riesgo que la empresa desea asumir en la consecución de sus objetivos.La fijación de este umbral permite optimizar el binomio riesgo-rentabilidad ymantener los riesgos en los niveles deseados.

Los autores señalan el apetito de riesgo como guía para la toma de decisiones,la asignación de los recursos y, en definitiva, para alinear a toda la empresa en laconsecución de los objetivos fijados, permitiendo hacer un seguimiento y monito-rización de los resultados obtenidos y sus riesgos asociados.

Felicito a todos los miembros de la Comisión Técnica por su excelente y exhausti-vo trabajo que, sin duda, ayudará a miembros de los Consejos de Administración,Comités de Auditoría y Alta Dirección de cualquier tipo de organización a enmar-car adecuadamente el concepto de apetito de riesgo en su Sistema de Gestiónde Riesgos.

José Manuel Muries

Presidente del Instituto de Auditores Internos de España


7

Índice

RESUMEN EJECUTIVO

INTRODUCCIÓN Definiciones .................................................................................................................. 15

Consideraciones para la determinación del apetito de riesgo ........................ 18

USOS DEL APETITO DE RIESGOAplicaciones y ventajas .............................................................................................. 20

Sectores donde se utiliza el apetito de riesgo ..................................................... 24

METODOLOGÍASEnfoques en la definición del apetito de riesgo .................................................. 26

Evaluación cuantitativa vs cualitativa del apetito de riesgo ............................. 29

Metodología en base al sector ................................................................................ 29

MARCOS DE REFERENCIAExigencias de carácter obligatorio .......................................................................... 31

Mejores prácticas internacionalmente aceptadas .............................................. 32

IMPLANTACIÓN

LECCIONES APRENDIDAS Y CONCLUSIONES¿Qué objetivos tiene la gestión del apetito de riesgo? ................................... 47

¿Qué condiciones previas requiere? ..................................................................... 48

¿Por dónde empiezo? ................................................................................................ 49

Factores clave de éxito: ¿Qué principios deben guiar su implantación? ...... 49

ANEXOS Anexo I · Definiciones ................................................................................................ 52

Anexo II · Detalle de los Marcos de Referencia ................................................. 52

09

14

20

31

38

47

51


9

Toda empresa lleva a cabo sus operaciones con un fin último, la creación de valor. Pero

es te fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resulta-

dos deseados, gestionar una empresa implica gestionar riesgos, y para poder hacerlo con

garantías, las empresas deben definir su sistema de gestión de riesgos.

Una pieza relevante de ese sistema es la fijación del apetito de riesgo: cantidad de riesgo

que la empresa desea asumir en la consecución de sus objetivos. La fijación de este um-

bral permite optimizar el binomio riesgo-rentabilidad y controlar y mantener los riesgos

en los niveles deseados. Por tanto, para posibilitar la generación de valor, las organizacio-

nes deben hacer un balance entre los riesgos y las oportunidades y el apetito de riesgo

debe servir de guía para la toma de decisiones, la asignación de los recursos y, en definiti-

va, para alinear a toda la empresa en la consecución de los objetivos fijados, permitiendo

hacer un seguimiento y monitorización de los resultados obtenidos y sus riesgos asocia-

dos.

Un sistema de gestión de riesgos adecuado debe alinearse con la estrategia de la compa-

ñía y con su cultura corporativa, y como punto clave debe tener en cuenta la naturaleza

de sus operaciones. Los principales órganos de gestión y control de las empresas, ya sean

Consejos de Administración o Alta Dirección, deben apoyar e impulsar la gestión de ries-

gos, con el objetivo de que se transmita a toda la organización y se integre en la operati-

va diaria de todas las áreas. La definición clara de los roles y responsabilidades en mate-

ria de gestión de riesgos dentro de la organización será, por tanto, un factor clave para el

éxito del sistema que se implante.

Para diseñar el sistema de gestión de riesgos y definir de forma adecuada los niveles de

apetito de riesgo, la empresa deberá focalizar sus esfuerzos en el desarrollo y uso de me-

todologías y técnicas que le ayuden a medirlos, y que le permitan compararlos con los ni-

veles de apetito establecidos. El proceso de la fijación del apetito de riesgo debe ser espe-

cífico para cada empresa puesto que no existe un valor de apetito de riesgo estándar apli-

cable a todas las compañías, y será responsabilidad de su máximo órgano de gestión de-

terminarlo. Además, debe tener en cuenta la naturaleza de los riesgos que se desean me-

dir y entenderse como algo vivo, que se revisa y cambia con la evolución de la propia em-

presa, sus objetivos y estrategia, así como el entorno en el que opera.

El proceso de la fijacióndel apetito de riesgodebe ser específicopara cada empresa yserá responsabilidad desu máximo órgano de gestión determinarlo.

Resumen Ejecutivo


Cada organización puede optar por diferentes metodologías de cálculo, condicionadas

por su sector de actividad e implantar modelos tanto cuantitativos como cualitativos. El

uso de unos u otros normalmente depende del grado de estandarización que exista en el

sector para la medición del apetito (condicionado en la mayoría de los casos, por la exis-

tencia de regulación explícita al respecto, como es el caso del sector financiero). En secto-

res en los que no hay obligatoriedad ni modelos definidos, será cada empresa la que de-

termine el método que desee seguir, en función principalmente de la naturaleza de los

riesgos por medir. En aquellos casos en que se evalúan los riesgos en términos de impac-

to económico y probabilidad, será conveniente establecer el apetito de forma cuantitativa.

Lo cierto es que cada vez resulta más relevante considerar aquellos elementos del apetito

de riesgo que no se pueden medir y que, por tanto, podrían ser más difíciles de gestionar,

como pueden ser los riesgos reputacionales. Por ello, para garantizar una gestión de ries-

gos integral y equilibrada, es recomendable combinar medidas cuantitativas con medidas

cualitativas, así como tener en cuenta aquellos riesgos para los que la organización puede

tener tolerancia cero.

Las mediciones cuantitativas utilizadas en sectores como el financiero suelen ser métricas

de adecuación del capital, como el capital en riesgo (capital at risk), métricas relaciona-

das con ingresos como los ingresos en riesgo (earnings at risk) y métricas de liquidez es-

10

El apetito es el nivel deriesgo que la empresaquiere aceptar y su tolerancia será la desviación respecto aeste nivel. La capacidadserá el nivel máximo deriesgo que una organización puede soportar en la persecución de sus objetivos.

En la determinación del apetito de riesgo, se deben contemplar además otros aspectos

como la tolerancia y la capacidad de la empresa. De este modo, mientras que el apetito

es el nivel de riesgo que la empresa quiere aceptar, aquél con el que se siente cómoda, su

tolerancia será la desviación respecto a este nivel. Por otro lado, la capacidad de asumir

riesgos, será el nivel máximo de riesgo que una organización puede soportar en la perse-

cución de sus objetivos. Así, la tolerancia servirá como alerta para evitar que la empresa

llegue al nivel establecido por su capacidad, algo que pondría en peligro la continuidad

del negocio.

Exposición

Baja

Alta

Apetito de riesgoTolerancia al riesgoCapacidad de riesgo


11

El enfoque descendentees más recomendablepara llevar a cabo laimplantación del modelo, pero para ser completo debe complementarse con un reporte basado en unenfoque ascendente.

pecialmente relevantes en Basilea tras los problemas de liquidez vividos en el sector fi-

nanciero en los últimos años.

Cabe destacar la existencia de dos posibles enfoques para la implantación del apetito de

riesgo en las organizaciones.

- El descendente o top-down, basado en establecer el apetito de riesgo desde el más al-

to nivel organizativo, alineado con los objetivos estratégicos. Una vez validado formal-

mente por los órganos responsables, como el Consejo y/o la Comisión de Auditoría, se

comunica al resto de la organización para alinear la gestión de riesgos de todas las

áreas con el apetito de riesgo aprobado para toda la compañía, estableciendo niveles

específicos de apetito para las distintas unidades que la componen.

- El enfoque ascendente o bottom-up, por el contrario, define el apetito de riesgo al mí-

nimo nivel de decisión dentro de una organización, para posteriormente ascender a lo

largo de la estructura organizativa hasta consolidarse en un apetito de riesgo global.

En general, el enfoque descendente es más recomendable para llevar a cabo la implanta-

ción del modelo, al crear una actitud proactiva en el establecimiento de lo que la direc-

ción considera que debe ser el apetito de riesgo de la organización, pero para ser comple-

to debe complementarse con un reporte basado en un enfoque ascendente.

· Mayor involucración de toda la organización

· Alto nivel de capilaridad

· Sencillez en la definición, sobre todo parariesgos más difíciles de cuantificar

· Demasiadas interacciones para convergercon capacidad máxima de riesgo

· Menor debate en niveles ejecutivos

· Menos convergencia con los requisitos delos grupos de interés

TOP-DOWN

VENTAJAS

BOTTOM-UP

· Alineación estratégica

· Convergencia con la capacidad máxima de riesgo

· Estimulación del debate del equipo ejecutivo

· Alineación con Best Practices

· Explicitación de los requisitos de los grupos de interés

· Menor involucración de niveles operativosen la definición

· Menor nivel de detalle

· Mayor complejidad en la definición y cuantificación

INCONVENIENTES


Cada empresa deberá asegurar un adecuado conocimiento y cumplimiento de la normati-va aplicable, que dependerá de la naturaleza de sus operaciones.

Considerado todo lo anterior, los pasos previos que deben tenerse en cuenta a la hora deimplantar el apetito de riesgo como parte integrante del sistema de gestión de riesgos deuna organización son los siguientes:

12

Por último, conviene recordar que existen distintos marcos de referencia en relación a lossistemas de gestión de riesgos y la fijación del apetito (cuyo nivel de exigencia varía de-pendiendo de su naturaleza) y que pueden ser de ayuda en el proceso de implantación.Así, existen exigencias de carácter obligatorio y otras, en cambio, recogen mejores prácti-cas internacionalmente aceptadas.

1. Definición marco estratégico

2. Establecimiento de Principios

3. Descripción organizativa

4. Asignación niveles de riesgo

5. Metodología de cálculo

6. Comunicación, actividadesde control y supervisión

Implantación del Modelo de Gestión de Riesgos

Carácter obligatorio

- Marco regulador para entidades bancarias (Basilea)

- Marco regulador para entidades aseguradoras (Solvencia II)

Mejores prácticas

- Disposiciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE)

- Committee of Sponsoring Organization of the Treadway Commission (COSO)

- International Organization for Standardization (ISO)

- British Standard 31100

- The Institute of Risk Management

- En España: Código Unificado de Buen Gobierno Corporativo (Código Conthe)

En COSO se especificaque el apetito de riesgoy la tolerancia al riesgo,junto a la fijación deobjetivos, son precondiciones necesarias para el establecimiento de un efectivo sistema decontrol interno.


13

El apetito de riesgotransforma métricas ymétodos de evaluaciónde riesgos en decisionesde negocio y reporte yayuda a optimizar la consecución de resultados y la creaciónde valor en las organizaciones.

Apetito de Riesgo · VENTAJAS

Estrategia

Operaciones

Información

Cumplimiento

· Mejorar la planificación estratégica.· Aumentar la efectividad del proceso de toma de decisiones.· Desarrollar esquemas de seguimiento y medición del desempeño

más eficientes, completos y justos

· Mejorar el análisis coste-beneficio de las decisiones.· Asignar recursos de forma más eficiente.

· Comunicar la actitud de la alta dirección frente al riesgo.· Considerar todos los grupos de interés y sus preferencias.· Desarrollar un sistema de reporte integrado.· Crear una comunicación basada en pautas comunes.

· Cumplir con la legislación y las mejores prácticas de gestión.· Mejorar la transparencia.· Implantar una cultura de gestión de riesgos.

En definitiva, desarrollar el apetito de riesgo no es un fin en sí mismo, ni debe consumiruna cantidad desproporcionada de recursos. Cada organización deberá analizar su coste-beneficio y decidir si está justificada su implantación, así como el nivel de sofisticaciónque desea utilizar para sustentar el proceso de determinación de su apetito de riesgo.Bien definido y adecuadamente utilizado, el apetito de riesgo transforma métricas y méto-dos de evaluación de riesgos en decisiones de negocio y reporte. Además, establece los lí-mites que forman un vínculo dinámico entre estrategia, objetivos y gestión de riesgos, loque ayuda a optimizar la consecución de resultados y la creación de valor en las organiza-ciones.


14

Para garantizar una eficiente implantaciónde un sistema de gestión de riesgos enuna organización, esimportante que se diseñe como unproceso integrado, como un elementoesencial dentro de suestrategia.

La gestión de un negocio consiste en tomardecisiones y asumir riesgos. Las empresas tie-nen como fin último la creación de valor, paralo que, y en base a un análisis de riesgos, es-tablecen sus objetivos y su enfoque estratégi-co a corto, medio y largo plazo. En esa bús-queda de creación de valor, los órganos res-ponsables de la entidad deben plantearsecuánto riesgo desean asumir, de forma que seoptimice el binomio riesgo-rentabilidad. Lagestión de riesgos debe formar parte de lacultura de una empresa, estar embebida en eldía a día de su operativa y ser asumida, difun-dida y compartida por toda la organización.

La estrategia organizativa de una empresa,debe basarse en un proceso continuo de iden-tificación y evaluación de riesgos de acuerdo ala política que cada compañía haya definidoen este sentido. Este proceso exige que lacompañía analice la adecuación de los riesgosque se toman con el nivel de riesgo deseado, yque establezca planes de acción y medidas deseguimiento, control y reporte adecuados.

La gestión de riesgos requiere una definición yasignación de roles y responsabilidades en to-dos los niveles de la organización. Cada per-sona debe conocer su papel en la gestión deriesgos de la compañía para que ayude a laconsecución de los objetivos estratégicos yoperativos fijados por la alta dirección.

Además, para garantizar una eficiente implan-tación de un sistema de gestión de riesgos en

una organización, es importante que se diseñecomo un proceso integrado, como un elemen-to esencial dentro de su estrategia. Así, resultafundamental que la compañía conozca cuántoriesgo está dispuesta a asumir en la persecu-ción de sus objetivos y cómo quiere equilibrarriesgos y oportunidades. Por todo esto, la defi-nición del apetito de riesgo es un elementoclave de un sistema integral de gestión deriesgos (ERM, Enterprise Risk Management).

Por ello, cuando los órganos responsables deuna organización (en adelante, se entenderápor órganos responsables el Consejo de Admi-nistración u órganos equivalentes) se planteanposibles estrategias, deben determinar, en pri-mer lugar, si se alinean con el nivel de apetitode riesgo que desean. De este modo, el apeti-to de riesgo sirve de guía para la toma de de-cisiones, la asignación de recursos y el alinea-miento de la organización, sus trabajadores ylos procesos, creando la infraestructura nece-saria para responder eficazmente a los desa-fíos, seguimiento y monitorización de los ries-gos. Por ello, no basta con establecer si unriesgo es alto, medio o bajo. Una organizacióndebe ir más allá y determinar si es aceptable,considerando los beneficios potenciales quepuede reportar.

Cuando es debidamente definido y comunica-do, el apetito de riesgo sirve como guía paraque la dirección fije los objetivos y tome lasdecisiones adecuadas para apoyar las opera-ciones de la empresa y que la organización in-

Introducción


cremente la probabilidad de alcanzar sus ob-jetivos.

En definitiva, la gestión de riesgos es un con-cepto que debe estar integrado en la fijaciónde la estrategia, la planificación o las decisio-nes que se toman en el día a día de la organi-zación. Debe ser parte de la cultura y una piezaclave en la toma de decisiones para la conse-cución de los objetivos, ya sean de cada área odel conjunto. Por ello las organizaciones hande considerar su apetito de riesgo en el mo-mento en que deciden sobre sus objetivos.

La determinación de ese apetito de riesgocomprende tres etapas:1. Definición 2. Implantación y comunicación3. Monitorización y actualización periódica.

La mayoría de las organizaciones tienden adefinirlo en términos cuantitativos, si bien, ca-da vez es más importante incluir elementoscualitativos,en línea con las últimas tenden-cias en reporte integrado. Promovidas por elInternational Integrated Reporting Council(IIRC), estas tendencias abogan por un repor-te corporativo que incluya información sobreestrategia, gobierno, comportamiento, pers-pectivas de la organización y la conexión consu contexto económico, social y ambiental.Por tanto, la discusión sobre el apetito deriesgo, además de variables financieras, con-templará conceptos como: reputación y mar-ca, sostenibilidad y medioambiente, gobiernocorporativo, cumplimiento, recursos humanos,etc.

Debe tenerse en cuenta que no es un concep-to individual fijo que pueda estandarizarse.Cada compañía debe establecer su apetito deriesgo para los diferentes tipos de riesgo y ali-

nearlos con la estrategia de la compañía y és-tos deben variar con el transcurso del tiempoy la dinámica del negocio, al igual que lo ha-cen los objetivos y estrategia de la compañía.

Por último, la determinación y uso del apetitode riesgo de una organización debe entender-se como un elemento de buen gobierno hacialos grupos de interés y que, por tanto, los ges-tores deben asumir como necesario.

DEFINICIONESLas definiciones del apetito de riesgo varíandependiendo del contexto en el cual se de -sarrolle, considerando aspectos como el sec-tor de actividad, las diferentes perspectivas delos grupos de interés o los tipos de riesgo queexistan.

Por otro lado, existen términos como la tole-rancia al riesgo o la capacidad de riesgo, muyrelacionados con el apetito y que en ocasio-nes pueden llevar a confusión.

Adicionalmente, existen distintos marcos dereferencia que definen los conceptos clave co-mo el apetito, la tolerancia y la capacidad,desde enfoques que pueden no ser exacta-mente equivalentes1. A continuación se resu-men los principales conceptos y definicionesque se pueden encontrar en los marcos meto-dológicos más usados en materia de gestiónde riesgos:

COSO

De acuerdo a lo establecido por el nuevo mo-delo para la práctica de control interno, ac-tualizado en mayo de 2013, se define el con-cepto de apetito de riesgo como el riesgo

15

1. Para más detalle sobre los marcos de referencia existentes consultar el apartado “Marcos de referencia” del presentedocumento (Página 31).

La definición del apetitode riesgo es un elemento clave de unsistema integral de gestión de riesgos(ERM, Enterprise Risk Management).


16

COSO define el apetitode riesgo como el riesgo que se está dispuesto a aceptar enla búsqueda de la misión/visión de laentidad.

que se está dispuesto a aceptar en la bús-queda de la misión/visión de la entidad. Esasí, un hito más en la fijación de la estrategiay los objetivos.

Tolerancia al riesgo

Se define como el nivel aceptable de varia-ción en los resultados o actuaciones de lacompañía relativas a la consecución o logrode sus objetivos.

Dicho de otro modo, la tolerancia es la canti-dad máxima de un riesgo que una organiza-ción está dispuesta a aceptar para lograr suobjetivo. Se refiere a lo que una empresa sepuede permitir gestionar. Riesgos que, en ca-so de aparecer, la compañía tiene que ser ca-paz de soportar.

Capacidad de riesgo

Hace referencia en cambio a la cantidad y ti-po de riesgo máximo que una organizaciónes capaz de soportar en la persecución desus objetivos.

Usando el ejemplo de un banco, se podría de-cir que su apetito es el nivel de riesgo que laentidad está dispuesta a aceptar para accedera cierto nivel de rentabilidad. En cambio, sucapacidad se refiere a cuánto riesgo puedeasumir sin quebrar.

“Marco Integrado de Gestión de Riesgos”de COSO

El “Marco Integrado de Gestión de Riesgos”de COSO define únicamente el apetito de

riesgo, como la cantidad de riesgo, desde unpunto de vista amplio, que una organizaciónestá dispuesta o desea aceptar en la persecu-ción de valor.

British Standard 31100

El British Standard 31100 sobre “Gestión de

Riesgo” se refiere al apetito como la canti-

dad y tipo de riesgo que una organización

esta preparada para afrontar, aceptar o to-

lerar. Esta definición resulta más ambigua al

no diferenciar claramente entre apetito y tole-

rancia al riesgo.

ISO

· ISO 31000, “Gestión del riesgo. Principios

y directrices”

La norma ISO 31000, en cambio no habla

explícitamente del apetito de riesgo, sino

que lo trata indirectamente en relación con

los conceptos de creación de valor y “acti-

tud ante al riesgo” que define como el en-

foque de la organización para evaluar y

eventualmente buscar, retener, tomar o ale-

jarse del riesgo.

También usa el concepto “criterios del

ries go” como el término de referencia

frente al cual se evalúa la importancia de

un riesgo.

· Guía 73 de ISO “Guía de Gestión de ries-

go - Vocabulario”

Por otro lado, la Guía 73 de ISO” (surgida a

raíz de la ISO 31000 y consistente en un

glosario de términos relativos a la gestión

de riesgos) define el apetito como la canti-

dad y tipo de riesgo que una organiza-

ción desea retener o perseguir.

Exposición

Baja

Alta

Apetito de riesgoTolerancia al riesgoCapacidad de riesgo


17

En definitiva, el concepto de apetito de riesgo

hace referencia a perseguir el riesgo, o dicho

de otro modo, a la cantidad agregada de ries-

go que la empresa activamente quiere o está

dispuesta a asumir, para la obtención de va-

lor. Dada su relevancia y las implicaciones a

nivel estratégico que conlleva, debe ser un

concepto definido por el máximo órgano res-

ponsable de la organización.

Como se habrá podido apreciar, los términos

apetito y tolerancia con frecuencia se usan de

forma indistinta, y aunque efectivamente son

términos relacionados, se refieren a conceptos

diferentes aunque complementarios. Una em-

presa quiere estar segura de que asume el su-

ficiente riesgo para poder conseguir sus obje-

tivos, pero, al mismo tiempo, desea saber que

no está asumiendo más riesgo del que debe-

ría, considerando los objetivos que persigue.

Cada empresa persigue varios objetivos al

mismo tiempo para agregar valor a sus gru-

pos de interés. En términos generales, debería

entender el apetito de riesgo como el riesgo

que desea tener, siempre que esté bajo con-

trol, para lograr sus objetivos.

Por ello, las organizaciones deben verificar

que el riesgo asumido en cada momento está

dentro de los límites que marca su apetito,

evitándose que se acerque al nivel de toleran-

cia establecido. En caso de hacerlo, deberán

tomarse medidas para reducirse la exposición

a ese riesgo lo antes posible, evitando llegar

al límite marcado por su capacidad.

Apetito de riesgo

Tolerancia al riesgo

Capacidad de riesgo

Tiempo

Expo

sició

n

La organización puede asumir másriesgo para optimizar su rendimiento

El riesgo excede los límitesde riesgo tolerables

El riesgo excede loslímites deseables

Dada la relevancia y las implicaciones a nivel estratégico que conlleva el apetito deriesgo, debe ser un concepto definido porel máximo órgano responsable de la organización.

Usando un ejemplo sencillo como la velocidad a la que circula un coche, podría decirse que el coche ad-mite una velocidad máxima de 200 Km/h, o que su capacidad es de 200 Km/h. Pero su conductor, te-niendo en cuenta su habilidad para conducir, el tipo de vía, la climatología y las prestaciones del vehículotoleraría ir a un máximo de 160 km/h. Aun así, considerando que su objetivo es llegar a su destino loantes posible pero de forma segura, decide conducir a 110Km/h, ya que es la velocidad que le permitehacer el recorrido respetando los límites establecidos, en un tiempo adecuado y sintiéndose confortableen la conducción. Este sería, por tanto, su nivel de apetito.


18

A continuación se muestra un resumen de los tres conceptos definidos, usando el caso de unaEmpresa A, que debe decidir sobre una puja en un concurso para la adjudicación de una licenciade explotación X:

Hasta ahora hemos comentado algunos con-ceptos generales relativos a la gestión de ries-gos en lo que a niveles de tolerancia y apetitode riesgo se refiere. Si bien la claridad en losconceptos es el punto de partida necesariopara la adecuada determinación del apetitode riesgo de una compañía, igualmente esde seable tener en cuenta una serie de consi-deraciones generales, que son clave para ges-tionar con éxito este proceso. Aunque algunasde ellas ya han sido señaladas, a continuaciónse incluye un breve resumen que puede ser deutilidad para el lector:

- En primer lugar, la organización en su con-junto debe entender que determinar el ape-tito de riesgo corresponde a sus máximos

Como se puede apreciar, la terminología puede variar ligeramente dependiendo del marco utiliza-do pero la esencia de los conceptos clave en todos ellos es similar.

CONSIDERACIONES PARA LA DETERMINACIÓN DEL APETITO DERIESGO

CONCEPTO EJEMPLO¿A QUÉ HACE REFERENCIA?

Apet

itoTo

lera

ncia

Nivel de riesgo que la empresa quiereaceptar, aquel con el que se siente

cómoda.

La empresa A quiere pagar un precio máximo por la licencia de 20 millones de €.Comienza la subasta y ofrece 10 millones de €. Esta cifra está dentro de los límites

de riesgo que desea asumir, considerado el objetivo que persigue y el beneficio esperado de la explotación de esa licencia.

Desviación respecto al nivel en el quela empresa se siente cómoda. Sirve dealerta para evitar llegar al nivel que

establece su capacidad.

La subasta continúa y tras varias pujas un competidor ofrece 24 millones de €. La empresa debe decidir si hacer una oferta superior, sobrepasando el nivel que deseaba pagar inicialmente (20 millones de €). Finalmente puja por 25 millones

de € y asume un riesgo que estaría por encima del nivel que deseaba asumir.

Capa

cida

d

Nivel máximo de riesgo que la empresa puede soportar.

La subasta continúa y otro competidor llega hasta 29 millones de €. La empresa Asabe que los recursos máximos con los que cuenta son 30 millones de €. Si pujaasumirá el máximo riesgo que sus actuales recursos le permiten, quedándose al

límite de sus recursos, por lo que decide no seguir pujando.

órganos de responsabilidad y debe estarvinculado a la estrategia de la compañía.Por ello es necesario entender bien los ob-jetivos definidos por la compañía y los ries-gos que en cada caso tienen asociados.

- Para definir el apetito de riesgo, es impor-tante tener en cuenta las expectativas delos inversores, reguladores y otros gruposde interés. Especialmente considerando quecada grupo tiene diferentes preferenciasrespecto al apetito de riesgo. El de los in-versores es distinto al de las agencias derating y éste es distinto al de los deudoreso al del público en general. Por ello, debegarantizarse un equilibrio adecuado en lagestión de las expectativas de todos ellos. A


19

menudo la dirección comete el error decentrarse en el apetito de riesgo de un gru-po de interés, sin dar suficiente peso al delos demás grupos.

- No existen estándares ni un valor único yadecuado para el apetito y/o la toleranciaal riesgo. Cada compañía debe establecersus niveles propios, aquellos que mejor seadecúen a su realidad en cada momento yal perfil de riesgo que se desea con varia-bles tanto cualitativas como cuantitativas.

- Es conveniente vincular el apetito a la ca-pacidad de riesgo de la organización y a lacultura de riesgo existente. La posición entérminos de cultura, estrategia y competiti-vidad tiene influencia en el apetito de ries-go, de forma que diferentes empresas ten-drán diferentes tolerancias para los diferen-tes tipos de riesgo que gestionan. Además,dentro de una organización, el apetito de-bería diferir entre las distintas unidades denegocio. Por ejemplo, el apetito de riesgode un banco por el riesgo de crédito en cré-ditos al consumo puede ser muy diferente asu apetito de riesgo de mercado en susoperaciones de banca de inversión.

- El desarrollo del apetito de riesgo no es unfin en sí mismo, ni debe consumir una can-tidad desproporcionada de tiempo y/o re-cursos. Es importante garantizar siempre elmantenimiento de un equilibrio adecuadoentre coste-beneficio en la definición e im-plantación de los sistemas de gestión deriesgos de las empresas.

- El apetito no es algo estático, debe revisar-se de forma continua y monitorizarse, y sepuede diferenciar entre corto y largo plazo,dado que los niveles en cada caso puedenvariar. Es fundamental tener una visiónmultidimensional y equilibrada del apetitode riesgo y actualizarla periódicamente. Elapetito de riesgo de la alta dirección será

diferente en una operación de puesta enmarcha en un nuevo mercado si se compa-ra con el asociado al mantenimiento de unnegocio ya establecido en un mercado ma-duro, y así sucesivamente.

- Los órganos responsables de la compañíadeben comunicar el apetito de riesgo a to-da la organización, para conseguir que seembeba en la gestión diaria de la empresa.

- Es clave asegurar una adecuada mediciónde los niveles de apetito, tolerancia y capa-cidad de cada empresa, porque sirven co-mo base para la toma de decisiones estra-tégicas de la empresa. Los errores en sucálculo pueden inducir a una toma de deci-siones incorrecta.

- La tolerancia debe servir como indicadorque informe a la empresa si puntualmentese está asumiendo un nivel de riesgo porencima del deseado pudiendo así recondu-cir la situación. Además debe servir comoalerta para evitar llegar a niveles que supe-ren la capacidad de la empresa, exponién-dola a riesgos que no podría soportar encaso de materializarse.

La consideración de estos principios duranteel proceso de definición y gestión del apetitode riesgo de cualquier compañía, ayudará alograr una mejor consecución de los resulta-dos esperados.

Es clave asegurar una adecuada medición delos niveles de apetito,tolerancia y capacidadde cada empresa, porque sirven como base para la toma dedecisiones estratégicas.

8 CLAVES DE ÉXITOPARA DEFINIR

EL APETITO DE RIESGO

Alinearcon la estrategia

Alinearcon la capacidad y la cultura de riesgo

Personalizarpara la compañía

Alinear con lasexpectativas de los

stakeholders

Adecuar equilibriocoste/beneficio

Revisarcontinuamente

Mediradecuadamente paratoma de decisiones

Comunicarinternamente(top down)


20

APLICACIONES Y VENTAJAS Como se ha explicado, los sistemas de ges-

tión de riesgos tienen como finalidad ayudar

a que los objetivos de una organización se

cumplan: facilitan la toma de decisiones y

mantienen los riesgos afrontados dentro de

unos límites razonables. Esa razonabilidad

viene determinada por el apetito de riesgo.

El apetito de riesgo es un elemento de ges-

tión que aporta a la organización ciertas ven-

tajas. Éstas se detallan a continuación, según

los cuatro objetivos marcados en el estándar

de gestión de riesgos COSO II: estrategia,

operaciones, información y cumplimiento.

1. Estrategia

Este nivel de objetivos se refiere al conjunto

de decisiones que toma la organización para

lograr su misión. Aquí la utilidad esencial del

apetito de riesgo es ayudar a alinear los obje-

tivos de la organización con su perfil de ries-

go, entendido éste como el enfoque global

que la organización desea dar a su gestión de

riesgos. De esta forma ayuda a la organiza-

ción a diferenciar los riesgos que son asumi-

bles de los que no. El apetito de riesgo inte-

gra la gestión de riesgos en la toma de deci-

siones operativas, ya que se concreta de for-

ma consistente en tolerancias y límites de

riesgo aceptables para las diferentes catego-

rías de riesgo afrontadas por la organización.

Asimismo, el apetito de riesgo resulta una he-

rramienta eficaz para la asignación de res-

ponsabilidades sobre los diferentes riesgos

soportados. Permite instrumentar una escala

de delegación de responsabilidades y de ges-

tión para los distintos riesgos, desde los nive-

les inferiores de la organización a los superio-

res, en función de cómo se sitúe la exposición

de los riesgos respecto al apetito fijado.

En ese sentido, las VENTAJAS que aporta son:

- Mejorar la planificación estratégica. La la-

bor de identificar cuánto riesgo puede so-

portar una organización requiere que los

responsables entiendan las restricciones y

capacidades para asumir riesgos que tiene

la compañía, tanto internas como externas

y que diferencien las estrategias que son

asumibles para la organización de las que

no. Ayuda a diferenciar los riesgos que son

asumibles por la organización de los que

no lo son, por lo que –en suma– posibilita

una planificación dinámica e integrada.

- Aumentar la efectividad del proceso de

toma de decisiones. El apetito de riesgo se

determina por diversas variables que in-

teractúan entre ellas como la estrategia

competitiva y de financiación, los grupos de

interés y la cultura de riesgo. Esa recopila-

El apetito de riesgo,concretado en nivelesde riesgo aceptables,permite articular un sistema efectivo dealertas y de gestión dela actividad realizada.

Usos del Apetito de Riesgo


21

ción y procesamiento de datos aumenta la

información relevante en la toma de deci-

siones y mejora los resultados del proceso.

- Desarrollar esquemas de seguimiento ymedición del desempeño más eficientes,

completos y justos al considerar el binomio

rentabilidad/riesgo en la evaluación del

desempeño.

2. Operaciones

El apetito de riesgo es una variable que ayuda

a la gestión de riesgos en los procesos opera-

tivos de las organizaciones: integra los riesgos

en la toma de decisiones operativas. Es defini-

do a alto nivel en la organización y debe con-

cretarse de forma consistente en límites de

riesgo aceptables para las diferentes categorí-

as de riesgo afrontadas. Esos límites se deben

comunicar e integrar en el día a día de las

distintas áreas. Determinarán los comporta-

mientos y variables aceptables de desempe-

ño.

En este ámbito de objetivos operativos, resul-

tan especialmente útiles los indicadores de

riesgo (Key Risk Indicators) que se basan en la

identificación de variables correlacionadas

con los riesgos y que permiten realizar una

identificación, seguimiento y respuesta frente

a los mismos. El apetito de riesgo, concretado

en niveles de riesgo aceptables, permite arti-

cular un sistema efectivo de alertas y de ges-

tión de la actividad realizada.

Las principales VENTAJAS en este caso son:

- Mejorar el análisis coste/beneficio de lasdecisiones. En mercados eficientes, las de-

cisiones con mayores retornos esperados

implican una asunción de mayores riesgos.

El apetito d riesgo combina ambas varia-

bles en la toma de decisiones, impide pen-

sar únicamente en las ventajas de una deci-

sión obviando sus riesgos.

- Asignar recursos de forma más eficiente.

La definición de límites de riesgo asumibles

permite evaluar si los efectos previstos es-

tán dentro de los intervalos marcados e

identificar posibles desviaciones. En un con-

texto de recursos limitados, el apetito de

riesgo ayuda a definir dónde se producen

las mayores desviaciones con respecto a los

límites aceptables y dedicar recursos a solu-

cionar dichas desviaciones.

3. Información

El informe COSO II incluye la información fi-

nanciera y no financiera, la interna y la exter-

na, en una consideración global de la infor-

mación. Las organizaciones, cada vez más,

afron tan mayores requerimientos en este sen-

tido por parte de todos sus grupos de interés,

se demanda mayor rapidez, claridad y trans-

parencia.

El apetito de riesgo permite identificar los

eventos relevantes para una organización en

términos de potenciales riesgos, y comunicar-

los a las partes que demanden dicha informa-

ción.

Internamente, el apetito de riesgo permite

crear una estructura de reporte clara. En fun-

ción del nivel de exposición y de dónde se si-

túe el límite aceptable de los riesgos, éstos se

reportarán a un nivel organizativo u otro.

El establecimiento del apetito de riesgo tiene

importantes consecuencias en términos de la

información para la dirección, así como para

la medición y reporte de los riesgos. Será ne-

El establecimiento delapetito de riesgo tieneimportantes consecuencias en términos de la información para la dirección, así como para la medición y reporte de los riesgos.


22

cesario adaptar la información de gestión pa-

ra permitir el seguimiento de los riesgos y su

consideración respecto al apetito a lo largo de

la organización, enriqueciendo los reportes

existentes con esta variable de gestión y ar-

monizando las estructuras de roles, responsa-

bilidades y límites de decisión existentes.

Una cuestión fundamental es la identificación

y explotación de los datos de los principales

indicadores para tomar acciones preventivas,

que posibiliten no exceder el apetito o no su-

perar los límites establecidos. Frente a un en-

foque basado en el uso de información detec-

tiva y pasiva, la información de medidas e in-

dicadores anticipados permite aportar más

valor y ayuda a adoptar las acciones preventi-

vas necesarias.

Además, la información de riesgos debe inter-

pretarse de forma dinámica, por ejemplo, un

incremento en la exposición de un determina-

do riesgo, implicará una disminución en el

apetito de riesgo de otros. El grado de flexibi-

lidad concedido a los gestores de riesgos de-

penderá claramente de la calidad y madurez

del sistema de gobierno y control de riesgos

de la entidad.

EL APETITO DE RIESGO PERMITE:

- Hacer explícita la actitud de la alta direc-

ción frente al riesgo. Resulta, por tanto,

una manera adecuada de discernir clara-

mente los riesgos y decisiones asumibles de

las que no lo son. Una discusión abierta so-

bre cuál es el apetito de riesgo es una for-

ma apropiada de involucrar a los diferentes

responsables de la organización en temas

estratégicos y de gestión de riesgos. El ape-

tito de riesgo fuerza el debate y ayuda a

asegurar que los riesgos se hagan explíci-

tos.

- Considerar todos los grupos de interés y

sus preferencias. El apetito de riesgo debe

combinar las preferencias de todos los gru-

pos de interés de la organización (emplea-

dos, accionistas, deudores, reguladores

etc.). La actitud respecto al riesgo y el perfil

de riesgos es muy diferente en cada grupo,

por lo que un apetito de riesgo común de-

be aunar las restricciones y preferencias de

todos los grupos.

- Crear una comunicación basada en pau-

tas comunes para todos los grupos. El

apetito de riesgo mejora el diálogo entre la

alta dirección y las áreas de negocio y ayu-

da a fijar un lenguaje común y magnitudes

compartidas por todos los grupos de inte-

rés, lo que favorece un mejor entendimien-

to y comunicación. Es una pauta de comu-

nicación común a todos los grupos de inte-

rés.

- Desarrollar un sistema de reporte integra-

do (Integrated reporting). Para ello, un pa-

so esencial es determinar los riesgos mate-

riales (tanto negativos como positivos) que

impactan en una organización a la hora de

crear o destruir valor. Esa materialidad pue-

de estar fijada por el apetito de riesgo, por

lo que sustenta una aproximación integral

a los riesgos.

4. Cumplimiento

Los reguladores e instituciones exigen que las

organizaciones desempeñen su actividad den-

tro de la legalidad y con una adecuada trans-

parencia de sus actividades. Cada día se exige

Frente a un enfoque basado en el uso de información detectiva ypasiva, la informaciónde medidas e indicadores anticipadospermite aportar másvalor y ayuda a adoptarlas accionespreventivas necesarias.


23

mayor responsabilidad en el comportamiento

de las organizaciones y el apetito de riesgo

ayuda a determinar responsable y consciente-

mente aquello que pueden y no pueden ha-

cer. Se debe recordar que en todos los meca-

nismos de control y cumplimiento, es impor-

tante asegurar que los costes de su implanta-

ción sean inferiores a los beneficios que re-

portan, y en el caso del apetito de riesgo, al

igual que en el resto, su implantación debe

ser eficiente.

Adicionalmente, como se detalla más adelan-

te, en 2004 la OCDE emitió los Principios de

Buen Gobierno que fijaban la necesidad de

que las organizaciones gestionen sus riesgos

conscientemente, sabiendo lo que una organi-

zación está dispuesta a asumir. Desde enton-

ces, la legislación refleja esta demanda social.

En España, la Ley de Economía Sostenible

(2011) exige que las sociedades cotizadas

proporcionen información sobre sus sistemas

de control de riesgos en su “Informe Anual de

Gobierno Corporativo”.

Por todo ello, las VENTAJAS de disponer de

un apetito de riesgo definido, para los objeti-

vos de cumplimiento son:

- Cumplir con la legislación y las mejores

prácticas de gestión exigidas por los re-

guladores. Cada vez más sectores incorpo-

ran requerimientos de responsabilidad y

transparencia en relación con la gestión de

riesgos. El apetito permite a una organiza-

ción ser consciente de sus riesgos y repor-

tar aquéllos relevantes.

- Mejorar la transparencia de las organiza-

ciones respecto a su gestión de riesgos,

puesto que delimita los eventos relevantes.

- Implantar una cultura de gestión de ries-

gos. Un diálogo abierto sobre el apetito de

riesgo debe trasladarse a una definición de

tolerancias y límites de riesgo asumibles en

cada actividad y ayudar a integrar la ges-

tión de riesgos en el día a día de todos los

niveles organizativos.

El apetito de riesgo es un elemento esencial

de un sistema de gestión de riesgos. Permite

a una organización identificar cómo se ade-

cúan las decisiones para lograr los objetivos

de acuerdo a su perfil de riesgo y, en caso de

existir desviaciones, gestionarlas de forma efi-

ciente y oportuna.

Apetito de Riesgo · VENTAJAS

Estrategia

Operaciones

Información

Cumplimiento

· Mejorar la planificación estratégica.· Aumentar la efectividad del proceso de toma de decisiones.· Desarrollar esquemas de seguimiento y medición del desempeño

más eficientes, completos y justos

· Mejorar el análisis coste-beneficio de las decisiones.· Asignar recursos de forma más eficiente.

· Comunicar la actitud de la alta dirección frente al riesgo.· Considerar todos los grupos de interés y sus preferencias.· Desarrollar un sistema de reporte integrado.· Crear una comunicación basada en pautas comunes.

· Cumplir con la legislación y las mejores prácticas de gestión.· Mejorar la transparencia.· Implantar una cultura de gestión de riesgos.


24

SECTORES DONDE SE UTILIZAEL APETITO DE RIESGO La aversión al riesgo ha sido un tema tradicio-nal en la teoría microeconómica, centrado encómo las condiciones de incertidumbre afec-tan a los procesos de toma de decisiones.Desde el S. XVI se han producido aportacio-nes en este campo que se han intensificadosignificativamente en el S.XX, con las teoríasde J. Von Neumann, Morgenstern, Arrow,Beck, etc.

La aplicación del apetito de riesgo en la ges-tión de organizaciones está generalizándosecomo parte esencial de los sistemas integralesde gestión de riesgos (ERM) cada vez más co-munes en todos los sectores de actividad,aunque su enfoque y nivel de desarrollo va-rían dependiendo de su naturaleza.

Sectores ReguladosEn sectores regulados, como el FINANCIERO,compuesto por entidades de crédito, de inver-sión y aseguradoras, esta tendencia es espe-cialmente marcada. Este sector ha constituidotradicionalmente el campo de actividad en elque se han aplicado técnicas y elementoscuantitativos de gestión de riesgos que hanpermitido un cálculo exacto de los potencialesriesgos. Adicionalmente, los estándares regu-latorios en dicho sector, han destacado la ne-cesidad de adecuación del capital de las orga-nizaciones a los riesgos asumidos en su acti-vo, para garantizar la viabilidad de dichas en-tidades.

Por ello, estándares regulatorios como Basileapara la banca o Solvencia II para el sectorasegurador están incidiendo en la convenien-cia de que las organizaciones establezcan ycomuniquen de forma explícita su apetito deriesgo, midan su exposición a los riesgos,ase guren que ésta sea acorde a su apetito yque éste es coherente con el capital disponi-

ble. Los marcos suelen hacer referencia a lanecesidad de que el apetito de riesgo tengauna relación clara con el capital de la organi-zación y que el apetito se alinee con su estra-tegia.

Solvencia II, por ejemplo, requiere que las EN-TIDADES ASEGURADORAS realicen una au-toevaluación interna de sus riesgos y de susolvencia (ORSA), teniendo en cuenta el perfilde riesgo específico, sus límites de toleranciaal riesgo aprobados por el Consejo de Admi-nistración, su estrategia comercial y la medidaen que el perfil de riesgo de la empresa sedesvía del capital de solvencia obligatorio.

Basilea, relativo a la BANCA, se centra en elriesgo que una entidad está dispuesta a asu-mir dada su capacidad de riesgo, relacionadaésta con la base de capital, la liquidez y otrasrestricciones regulatorias o de solvencia. Ladefinición del apetito de riesgo de este marcoconceptual, permite a las entidades financie-ras fijar métricas cuantitativas como capitaleconómico, límites de con centración de ries-gos, rentabilidad ajustada al riesgo (RAROC),ratio de fondos de máxima calidad (Tier 1),pérdidas esperadas, exposición a eventos ex-tremos, etc. El apetito de riesgo posibilita unenfoque proactivo para la distribución de sucapital, un desarrollo de medidas cuantitati-vas de riesgos, un mejor gobierno corporativo,una ma yor transparencia e información másoportuna y efectiva. Estas presiones regulato-rias, así como un mayor enfoque en el gobier-no corporativo en los últimos años, han servi-do de estímulo para muchos cambios en la in-dustria financiera, como el reconocimiento dela necesidad de articular el apetito de riesgopor las entidades de forma más clara.

En el sector financiero, el apetito de riesgo esun input importante para la determinación delcapital económico que, a su vez, condicionalas necesidades globales de capital. El capitaleconómico, por lo general, desempeña un pa-pel clave en la cuantificación de los riesgos y

El apetito de riesgo esuna pieza esencial dentro de los sistemasintegrales de gestión deriesgos (ERM), que ayudan a la sostenibilidad de las organizaciones.


25

en integrar el apetito de riesgo en la infraes-tructura operativa del negocio. Estas metodo-logías ofrecen una herramienta para cuantifi-car el riesgo y comprender mucho mejor la re-lación entre riesgo y rentabilidad.

Sectores No ReguladosLos sectores de actividad en los que no existeuna regulación al respecto tan específica,presentan una evolución menos sofisticadadel apetito de riesgo, se centran en especifi-caciones cualitativas que resultan adecuadaspara riesgos más generales, como por ejem-plo el reputacional.

En los sectores relacionados con industriasdonde la seguridad y fiabilidad de las opera-ciones es importante (por ejemplo ALIMEN-TACIÓN, SANIDAD o TRANSPORTE) se hadesarrollado el concepto de apetito de riesgo,aunque centrado en riesgos operativos, comolos de seguridad física de empleados, clientes,fraude o las vulnerabilidades de los sistemas,y en aspectos de cumplimiento o segregaciónde funciones, que tienen umbrales de toleran-cia pequeños y donde el análisis se basa endeterminar el coste de la exposición a los ries-gos frente al coste de los controles por im-plantar. La gestión de este tipo de riesgos haprevalecido sobre esquemas de gestión y op-timización de los riesgos asumidos (oportuni-dades). Así, en la industria aeronáutica, porejemplo, el estándar SARPS-ICAO2 de gestiónde seguridad se centra en identificar amena-zas y eliminarlas hasta que el riesgo sea tole-rable bajo un análisis coste-beneficio.

La identificación de medidas para los riesgosasumibles se aplica en diversos ámbitos. Es-tándares de gestión de riesgos de seguridadde la información como MAGERIT3 o ISO27005 definen la necesidad de fijar umbralespara atender a los riesgos aunque no concre-tan específicamente medidas o formas de ha-cerlo.

Por otro lado, el SECTOR PÚBLICO está ha-ciendo esfuerzos por evolucionar hacia mode-los de gestión de riesgo ligados a estándarescomo ISO 31000. No obstante, la implanta-ción de procesos de gestión de riesgos y demedidas específicas en este sector es todavíaincipiente.

Independientemente del sector de actividad,los sistemas integrales de gestión de riesgos(ERM) se aplican cada vez en más ámbitos. Elapetito de riesgo es una pieza esencial dentrode estos sistemas que, de forma generalizada,se reconocen como una buena práctica degestión y ayudan a la sostenibilidad de las or-ganizaciones (entendida ésta como la capaci-dad de crear valor a lo largo del tiempo). Unreconocimiento de estas ventajas son los índi-ces bursátiles específicos de sostenibilidad enempresas cotizadas como el Dow Jones Sus-tainability Index4 o el FTSE 4Good5, que con-sideran que las organizaciones con principiosde gestión responsable pueden proporcionar,a largo plazo, un retorno a la inversión mayorque la media. Sus criterios, para valorar quéempresas son las más responsables, se cen-tran en las prácticas en materia de gestión ycontrol de riesgos que aplican.

Los criterios utilizadospor los índices bursátiles específicos desostenibilidad en empresas cotizadas para valorar qué empresas son las más responsables, se centranen las prácticas en materia de gestión ycontrol de riesgos que aplican.

2. SARPS-ICAO, Standards and Recommended Practices. International Civil Aviation Organization3. MAGERIT, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Pú-

blicas, octubre 2012. ISO 27005, estándar relativo a la gestión de riesgos de seguridad de la información4. Los índices Dow Jones Sustainability Indexes son una familia de indicadores lanzados en una iniciativa conjunta en 1999 entre S&P y

RobecoSAM, con objetivo de evaluar a las compañías cotizadas más relevantes, con criterios económicos, sociales y medioambientales.Más información en www.sustainability-index.com/

5. El Financial Times London Stock Exchange for Good es un índice que evalúa el cumplimiento con los objetivos de responsabilidad socialde las empresas cotizadas más grandes. Fue lanzado en 2001 por el grupo FTSE. Más información enwww.ftse.com/Indices/FTSE4Go-od_Index_Series/index.jsp


26

Como se habrá podido apreciar, bien definido,el apetito de riesgo transforma métricas y mé-todos de evaluación de riesgos en decisionesde negocio y reporte. Además, establece los lí-mites que forman un vínculo dinámico entreestrategia, fijación de objetivos y gestión deriesgos.

ENFOQUES EN LA DEFINICIÓNDEL APETITO DE RIESGOLas distintas partes de la organización y gru-pos de interés tienen puntos de vista diferen-tes, tal como se ha comentado anteriormente,por lo que la definición del apetito de riesgodebe tratar de aunar todas las necesidadesexistentes. De este modo, la determinacióndel apetito de riesgo, organizativamente, pue-de definirse con dos enfoques alternativos: demanera ascendente o de manera descenden-te.

1. Enfoque descendente (top-down)En la mayor parte de las organizaciones, elapetito de riesgo se establece al más alto ni-vel organizativo, alineado con los objetivosestratégicos. Parte de la Dirección y debe servalidado formalmente por los órganos res-ponsables (Consejo y/o Comisión de Audito-ría).

Para cambiar el comportamiento de una orga-nización en relación con el riesgo, puede ser

necesario impartir formación adicional o reali-zar cambios en el personal pero, en la mayo-ría de las organizaciones, lo que mayor im-pacto suele tener es la implicación de la AltaDirección.

En este sentido, las discusiones sobre el apeti-to de riesgo permiten al responsable de ges-tión de riesgos (CRO, Chief Risk Officer o si-milar) involucrar a los jefes de las unidades denegocio en la definición de los vínculos entreel riesgo y la estrategia. El proceso también sepuede utilizar para involucrar al Consejo (omáximo órgano de responsabilidad existente)y a directores no ejecutivos. El resultado es unmarco robusto que puede utilizarse para arti-cular el apetito de riesgo a lo largo de una or-ganización que tenga en cuenta las necesida-des y perspectivas de los grupos de interés.

En este tipo de enfoque descendente se esta-blece un apetito de riesgo al más alto nivelorganizativo, de aplicación para todo el grupoo compañía, generalmente en términos cuan-titativos. Posteriormente, se va desglosandodicho apetito a nivel región, división o líneade actividad y, consecuentemente, a nivel país, empresa (en caso de grupos empresaria-les), área, producto, etc.

A medida que el apetito de riesgo se comuni-ca a través de toda la organización (subsidia-rias, divisiones, unidades de negocio, regio-nes, países, áreas, etc.), es importante que seexprese en términos más específicos.

El apetito de riesgo permite al responsablede gestión de riesgos(CRO, Chief Risk Officero similar) involucrar alos jefes de las unidades de negocio enla definición de los vínculos entre el riesgoy la estrategia.

Metodologías


27

La siguiente figura ilustra un enfoque global,que consiste en la evaluación del apetito deriesgo desde diferentes perspectivas de gru-pos de interés y distintos tipos de riesgo. Eldiseño descendente del apetito de riesgo con-duce típicamente a una evaluación del perfilde riesgo deseado y un plan de acción paralograrlo. Para afrontar este problema multidi-mensional, puede resultar útil comenzar conla definición de la capacidad de riesgo, enten-dida como la máxima cantidad de riesgo quela organización puede asumir. Este es un con-cepto importante porque, como se ha indica-do, el apetito de riesgo se debe establecer enun nivel que esté dentro del límite que marcala capacidad de la empresa. Habitualmente,los grupos de interés tendrán opiniones dife-rentes sobre el margen de seguridad deseadoy resultará crucial tenerlo en cuenta en el es-tablecimiento y comprensión del apetito. Ade-más, es necesario evaluar otros factores comoel impacto potencial de un incidente de ries-go, así como la capacidad de la organizaciónpara controlar la actividad. Estos factores cua-litativos, cuando se combinan con la capaci-dad y medidas de riesgo, permiten articular ycontrolar un apetito de riesgo equilibrado.

Con carácter general, para definir el apetitode riesgo se recomienda el enfoque descen-dente, ya que recoge los requerimientos delos diferentes grupos de interés y estimula eldebate del equipo ejecutivo. Además, estaaproximación está alineada con las mejoresprácticas en Buen Gobierno Corporativo, co-mo el Código Unificado de Buen Gobierno delas Sociedades Cotizadas (también llamadoCódigo Conthe), publicado por la CNMV en2006, donde se recomienda que la política degestión de riesgos de la sociedad incluya la fi-jación del nivel de riesgo que la sociedad con-sidera aceptable, y que ésta sea aprobada porsu Consejo de Administración.

Adicionalmente, sin una perspectiva descen-dente, hay determinados riesgos, como los re-putacionales u otro tipo de riesgos transver-sales a la organización, que podrían no ser te-nidos en cuenta. A veces, el daño a la reputa-ción puede ser causado por un incidente enuna parte de la organización que se contagiay provoca daños en otras áreas. Esto puedeser particularmente importante en las institu-ciones financieras, que requieren la confianzade sus depositantes o tomadores para mante-ner su solvencia.

2. Enfoque ascendente (bottom-up)La forma más sencilla de definición del apeti-to de riesgo bajo un enfoque ascendente con-siste en definir el apetito de riesgo al mínimonivel de decisión (por ejemplo, por proceso oproyecto), para ir ascendiendo en su defini-

Capacidad

Apetito de riesgo

Perfil de riesgo deseado

Perfil de riesgo actual

RiesgosOperacionales

RiesgosEstratégicos

RiesgosFinancieros

Riesgosde Créditos

Categorías de riesgos: personalizadas para cada negocio

Exposición máxima que unaorganización puede asumirdado su capital, liquidez,

rentabilidad, etc.

Exposición a los riesgos paralograr los objetivos marcados

para la actividad.

El perfil de riesgoes la asignación del apetito

a diferentes categorías de riesgo.

Otro beneficio del enfoque descendente esque asegura que la dirección está en conso-nancia con el apetito de riesgo. Puede requeriruna inversión inicial más alta, pero será com-pensada más adelante facilitando el posteriordesarrollo.

Sin una perspectiva descendente, hay determinados riesgos,como los reputacionalesu otro tipo de riesgostransversales a la organización, que podrían no ser tenidosen cuenta.


· Mayor involucración de toda la organización· Alto nivel de capilaridad· Sencillez en la definición, sobre todo para ries-

gos más difíciles de cuantificar

· Demasiadas interacciones para converger concapacidad máxima de riesgo

· Menor debate en niveles ejecutivos· Menos convergencia con los requisitos de los

Grupos de interés

28

ción hasta llegar a un apetito consolidado porcompañía o grupo empresarial.

En determinadas organizaciones, se sigue unenfoque ascendente, partiendo de informa-ción de riesgos histórica de la compañía ydesarrollando modelos estadísticos que inclu-yan, además, factores asociados a la industriao al entorno macroeconómico, para crear unperfil de riesgos teórico. Este perfil de riesgosirve en última instancia a los órganos y res-ponsables para discutir sobre el nivel de ries-go que la compañía está preparada paraaceptar, y definir así un apetito de riesgo glo-bal.

Los enfoques ascendentes tienen el inconve-niente de que tienden a apoyar el statu quo yel perfil de riesgo existente, sin incorporar lavisión de futuro. A menudo, el resultado esuna descripción pasiva del apetito de riesgoactual en lugar de una actitud proactiva sobrela dirección hacia la que los órganos respon-sables quieren encaminar a la organización.

Confiar enteramente en modelos ascendentesde determinación del apetito de riesgo puedeno ser recomendable porque la Dirección ne-cesita una visión descendente. Por ejemplo,los problemas encontrados en la medición debeneficios de diversificación o en la determi-

nación de los requerimientos de capital parariesgos “difíciles de cuantificar”, tales como elriesgo estratégico, significan que el enfoqueascendente puede no reflejar la verdadera po-sición de riesgo de la organización. De hecho,en el sector financiero muchas compañías tie-nen grandes dificultades para cuantificar elcapital asociado con el riesgo operacional.

En conclusión, un enfoque descendente, porlo general, funciona mejor que un enfoque as-cendente como planteamiento de base paraimplantar el sistema. Esto se debe a que real-mente es la forma más efectiva de considerarlas opiniones de los grupos de interés y decrear una actitud proactiva en el estableci-miento de lo que la Dirección considera quedebe ser su apetito de riesgo. Pero una vez sehaya descendido a lo largo de toda la organi-zación, el enfoque debe completarse con unreporte ascendente, que permita consolidar almáximo nivel la información de todas lasáreas, obteniendo una visión global y de con-junto de la situación de la compañía. En defi-nitiva, pueden considerarse enfoques comple-mentarios, no necesariamente excluyentes.

A continuación, se presenta un resumen lasprincipales ventajas e inconvenientes de cadaenfoque.

TOP-DOWNVENTAJAS

BOTTOM-UP

· Alineación estratégica· Convergencia con la capacidad máxima de

riesgo· Estimulación del debate del equipo ejecutivo· Alineación con Best Practices· Explicitación de los requisitos de los Grupos

de interés

· Menor involucración de niveles operativos en ladefinición

· Menor nivel de detalle· Mayor complejidad en la definición y

cuantificación

INCONVENIENTES

Es importante considerar aquellos elementos del apetitode riesgo que no sepueden medir y que,por tanto, podrían sermás difíciles de gestionar, como losriesgos reputacionales.


29

EVALUACIÓN CUANTITATIVA vsCUALITATIVA DEL APETITO DERIESGODe forma muy resumida, podría decirse que ladefinición de apetito de riesgo puede realizar-se de dos formas:

1. Declaraciones cualitativas, que describenlos riesgos específicos de la organizaciónque está dispuesta a aceptar.

2. Declaraciones cuantitativas, donde sedescriben los límites, umbrales o indicado-res clave de riesgo, que establecen cómohan de ser juzgados los riesgos y sus be-neficios y/o cómo evaluar y vigilar el im-pacto agregado de estos riesgos.

Asimismo, es importante considerar aquelloselementos del apetito de riesgo que no sepueden medir y que, por tanto, podrían sermás difíciles de gestionar, como los riesgosreputacionales. Podría decirse que éstos sonlos riesgos que pueden beneficiarse más, deser articulados de una forma clara, incluso sise realiza en términos cualitativos. No obstan-te, las técnicas cuantitativas están mejorandocontinuamente y en algunos casos puedenllegar a hacerse aproximaciones razonables.

La implicación para la gestión es clara: identi-ficar los riesgos a los que se enfrenta la orga-nización, medirlos y articular las decisionescorrespondientes para gestionarlos. Todo ellose debe hacer de manera integral y equilibra-da, de forma que las medidas cuantitativas secombinen con medidas cualitativas, así comotener en cuenta aquellos riesgos para los quela institución puede tener tolerancia cero.

En este último concepto de “riesgos de tole-rancia cero” se engloban aquellas categoríasde riesgo, para las que la estrategia de res-puesta al riesgo suele ser generalmente “evi-tar”; es decir, cambiar la forma de actuar o noproceder con la actividad que ocasiona el

riesgo. Por ejemplo, se engloban en esta tipo-logía aquellos riesgos relacionados con in-cumplimientos legales o regulatorios, riesgosrelacionados con la seguridad de los emplea-dos, riesgos de fuerte impacto medioambien-tal, etc.

En la siguiente figura se muestran los trescomponentes teóricos de la definición delapetito de riesgo.

METODOLOGÍA EN BASE ALSECTORRespecto a la metodología de cálculo paradeterminar el apetito de riesgo, las organiza-ciones pueden optar por diferentes enfoques,en gran parte condicionados por su sector deactividad. Resulta adecuado considerar susparticularidades dependiendo de si están vin-culadas al sector financiero o no, así como te-ner en cuenta posibles medidas cuantitativasy cualitativas.

Tal y como se describe en el capítulo “Usosdel Apetito de Riesgo”, las empresas adscritasal sector financiero utilizan generalmente,medidas cuantitativas para expresar su apeti-to de riesgo, mientras que las empresas no-fi-nancieras pueden optar por evaluacionescuantitativas o cualitativas.

Métricas cuantitativas

· Medidas consistentes de riesgos· Adecuadas para riesgos propios de la actividad· Ligadas a estrategia y planes de negocio

Por ejemplo, volatilidad de ingresos

Métricas cualitativas

· Reconocimiento de que no todos los riesgos sonmediblesPor ejemplo, para actividades no principales

Riesgos detolerancia cero

· Categorías de riesgo con exposición “a evitar”Por ejemplo, incumplimientos de normativa legal


30

1. Empresas no-financierasEn general, las empresas no-financieras noestán sujetas a normativas que les obliguen acuantificar su apetito de riesgo, por lo quepueden optar por establecerlo de forma cuali-tativa, cuantitativa, o con una combinación deambas.

Sin embargo, si la empresa, a pesar de no serfinanciera, está evaluando sus riesgos en tér-minos de impacto económico y probabilidad,puede ser conveniente que establezca su ape-tito en términos cuantitativos, de tal formaque le permita clasificar sus riesgos identifica-dos como aceptables o no aceptables.

La elección de una cifra como nivel de apetitode riesgo puede basarse en variables econó-micas representativas del tamaño de la em-presa (área, país, unidad, etc.), un porcentajedel EBITDA, ingresos, resultado operativo, etc.e incluso la materialidad utilizada por el audi-tor externo.

Dicha cifra puede completarse con un valorde probabilidad, esto es, apetitos de riesgoque resultan de combinaciones de impacto yprobabilidad y que pueden asociarse a inter-valos del mapa de riesgos para una mejor re-presentación gráfica y comprensión.

El apetito, dentro del plano de compañía ogrupo, puede desglosarse en un enfoque des-cendente, aplicando la misma magnitud a en-tidades inferiores o usándose otro criterio.

2. Empresas financierasAlgunas compañías, principalmente institucio-nes financieras, utilizan medidas cuantitativaspara expresar su apetito de riesgo global. Lamayor parte de ellas obtienen dichos valoresa través de la “modelización” de diferentesescenarios. Por ello, es habitual que el apetitode riesgo esté compuesto de valores econó-micos y probabilidades.

Las métricas utilizadas para determinar elapetito de riesgo son diversas y varían en fun-ción del sector de actividad. Principalmente seutilizan:- Métricas de adecuación del capital, como el

capital en riesgo (Capital at Risk) que se re-lacionaría con una potencial pérdida de va-lor de los activos o el capital económico(Eco nomic Capital) que son los recursos ne-cesarios para asumir pérdidas esperadas einesperadas.

- Métricas relacionadas con ingresos, comolos ingresos en riesgo (Earnings at Risk)que es una medida de variabilidad de losbeneficios. Se utiliza habitualmente en or-ganizaciones sujetas a US GAAP6.

- Métricas de liquidez, especialmente rele-vantes en Basilea III tras los problemas deliquidez vividos en el sector financiero des-de el año 2010.

A modo de ejemplo, a continuación se mues-tra un cuadro con los indicadores mínimosque deberían formar parte de la definición delapetito de riesgo de la entidad, así como desu posterior seguimiento.

Si la empresa, a pesarde no ser financiera, está evaluando sus riesgos en términos de impacto económico y probabilidad, puede ser conveniente que establezca su apetitoen términos cuantitativos.

6. US GAAP, Generally Accepted Accounting Principles (United States)

Métricas de capital

· Solvencia. Fondos propios requeridospor la actividad.

· Capital económico. Fondos propios requeridos con un nivel de confianza (superior al 90%). Suele ser superior alcapital regulatorio.

· Volatilidad de los ingresos. Variabilidadde los ingresos.

· Rentabilidad del Capital. Rentabilidaddel capital económico ajustada al riesgo.

· Plazo de liquidez. Periodo de tiempo enel que el balance de caja es suficientepara hacer frente a los compromisos esperados.

· Ratio de liquidez. Comparación entrelos activos esperados y las salidas de caja esperadas.

Métricas de ingresos Métricas de liquidez


31

Existen diferentes marcos7 y estándares que

contemplan directrices y/o recomendaciones

sobre el apetito de riesgo y su uso en las or-

ganizaciones. Estos marcos resultan útiles co-

mo referencia para comenzar a utilizar el ape-

tito de riesgo o para evaluar el grado de de -

sarrollo logrado. A continuación, señalamos

los más representativos, diferenciando entre

los exigidos en sectores regulados y los que

constituyen las mejores prácticas internacio-

nales.

EXIGENCIAS DE CARÁCTEROBLIGATORIO

Marco regulador para entidades ban-carias (Basilea)

En 1974 se creó el Comité de Supervisión

Ban caria de Basilea y en 1988 se publicó el

primer acuerdo “Basilea I”, donde se propo-

nían las normas mínimas que deberían cum-

plir las entidades financieras para mantener el

control prudente de sus operaciones.

En la revisión de Basilea III de junio de 2011,

se responsabiliza explícitamente a la Alta Di-

rección de las entidades, de la definición de la

cantidad de riesgo que están dispuestos a

aceptar en su visión, citando textualmente:

“La alta dirección debe asumir un papel de li-

derazgo en la integración de las pruebas de

tensión en el marco de la gestión de riesgos

del banco y de su cultura de riesgos, y garan-

tizar que los resultados son significativos y se

aplican diligentemente a la gestión del riesgo

de crédito de contraparte. Como mínimo, los

resultados de las pruebas de tensión para ex-

posiciones significativas deben compararse

con las directrices que explicitan el apetito de

riesgo del banco por el riesgo, así como anali-

zarse y servir de base para adoptar medidas

ante riesgos excesivos o concentrados.”

Aunque los acuerdos del Comité de Supervi-

sión Bancaria de Basilea son recomendacio-

nes sobre regulación y supervisión bancaria

no vinculantes, han sido adoptados por nu-

merosos países e integrados en su regulación

local.

El marco regulador señala que el supervisor

debe supervisar varios aspectos:

· El Consejo garantiza que:

a) existe una sólida cultura de gestión del

riesgo en todo el banco;

b) se han desarrollado políticas y procesos

para la asunción de riesgos, acordes con

la estrategia de gestión del riesgo y el

nivel establecido de apetito de riesgo;

7. Para un mayor detalle sobre marcos metodológicos consultar el ANEXO II incluido en el documento completo alojadoen www.auditoresinternos.es

Marcos de Referencia


32

c) se tiene constancia de las incertidum-

bres asociadas a la medición del riesgo;

d) se establecen límites adecuados acordes

con el apetito de riesgo;

e) el perfil de riesgo y la solidez del capital

del banco, son periódicamente comuni-

cados al personal pertinente y compren-

didos por éste; y

f) la alta dirección adopta las medidas ne-

cesarias para vigilar y controlar cual-

quier riesgo significativo de conformidad

con las estrategias aprobadas y el apeti-

to de riesgo establecido.

· Las estrategias, políticas, procedimientos y

límites en materia de gestión de riesgos:

a) se documentan adecuadamente;

b) se revisan periódicamente y actualizan

adecuadamente para reflejar cambios en

el apetito de riesgo, el perfil de riesgo y

la situación macroeconómica; y

c) se comunican dentro del banco.

Marco regulador para entidades ase-guradoras (Solvencia II)

La Directiva Europea 2009/138/CE del Parla-

mento Europeo y del Consejo, de 25 de no-

viembre de 2009, sobre el seguro de vida, el

acceso a la actividad de seguro y de reasegu-

ro y su ejercicio, establece el marco de Sol-

vencia II. Este marco fija unos requerimientos

generales que deben regir el sistema de con-

trol interno. Destaca un apartado específico

relacionado con actividades de gestión de

riesgos para estas organizaciones.

En su artículo 45, la Directiva establece que

este tipo de entidades deben efectuar una

evaluación interna de sus riesgos y de su sol-

vencia, abarcando, como mínimo, los siguien-

tes aspectos clave:

- Las necesidades globales de solvencia de laorganización, teniendo en cuenta su perfilde riesgo específico, sus límites de toleran-cia al riesgo aprobados y la estrategia co-mercial de la empresa.

- El cumplimiento continuo de los requisitosde capital y de provisiones técnicas estable-cidos en la propia Directiva.

- La medida en que el perfil de riesgo de laempresa se aparta de las hipótesis en quese basa el capital de solvencia previsto enla propia Directiva.

MEJORES PRÁCTICAS INTERNA-CIONALMENTE ACEPTADAS

OCDE: Principios de Gobierno Corpo-rativoLa Organización para la Cooperación y el De-sarrollo Económico (OCDE) publicó el docu-mento “Principios de Gobierno Corporativo”(edición 2004), en el que se relacionan unaserie de buenas prácticas para fortalecer laestructura del gobierno corporativo en empre-sas y otro tipo de organizaciones, con el obje-tivo final de contribuir al fortalecimiento de laconfianza y la integridad en el ámbito econó-mico y de los negocios.

Entre las recomendaciones de estos princi-pios, en relación a la gestión de riesgos, se se-ñala la idoneidad de disponer de una políticade riesgos, que especifique los diferentes ti-pos y grados de riesgo que una entidad seencuentra dispuesta a aceptar en su intentopor alcanzar los objetivos (es decir, que expre-se los tipos de riesgo que se afrontan y suapetito correspondiente). Esta política consti-tuirá una referencia para determinar cuál es el


33

perfil de riesgo deseado por la organizaciónasí como un soporte importante para la ges-tión de los riesgos.

Committee of Sponsoring Organizationof the Treadway Commission (COSO)COSO II (Gestión de riesgos corporativos –Marco integrado) distingue cuatro categoríasde objetivos, que deben ser cubiertos en todala estructura organizativa de una entidad, me-diante ocho componentes o actividades parala administración y gestión integral de losriesgos. En la última actualización de COSO,los objetivos se han simplificado en tres cate-gorías (operaciones, información y cumpli-miento) y los ocho componentes finalmentehan sido agrupados en cinco (entorno de con-trol, evaluación del riesgo, actividades de con-trol, información y comunicación, actividadesde seguimiento).

Con relación al componente “Entorno deCon trol”, COSO II define que los factores delambiente de control deben incluir la filosofíade gestión de riesgos de la entidad y su ries-go aceptado, así como el resto de componen-tes como la integridad, los valores éticos o laestructura organizativa.

A su vez, en el punto de “Establecimiento deobjetivos” sugiere la vinculación entre la mi-

Ambiente interno

Establecimiento de objetivos

Identificación de eventos

Evaluación de riesgos

Respuesta a los riesgos

Actividades de control

Información y comunicación

Supervisión

ESTRATEG

IA

OPERACIONES

INFORMACIÓN

CUMPLIMIENTO

FIL

IAL

UN

IDA

D D

E N

EG

OC

IOD

IVIS

IÓN

EN

TID

AD

sión de la entidad y los objetivos estratégicos,así como con el resto de objetivos relaciona-dos, alineando estos dos tipos de objetivoscon el nivel de riesgo aceptado y la toleranciaal riesgo.

COSO II expresa que, en una entidad, el ries-go aceptado puede expresarse en términoscualitativos o cuantitativos, y sugiere una ba-tería de consideraciones para su definición.Como primera opción, contempla la expresióndel riesgo aceptado en términos de un “mapade riesgo” lo que sugiere que la dirección dela organización debe poner en marcha accio-nes para reducir la probabilidad y/o impactode cualquier riesgo residual significativo in-cluido en la zona amarilla, puesto que excedeel riesgo aceptado.

En la nueva actualización de COSO,se especifica que el apetito de riesgo y latolerancia al riesgo, junto a la fijación deobjetivos, son precondiciones necesarias para elestablecimiento de un efectivo sistema decontrol interno.

Dentro del riesgoaceptado

Excede del riesgoaceptado

Formación del riesgo aceptado

Probabilidad

Bajo Medio Alto

Impa

cto

Bajo

Med

ioAl

to

Como segunda opción expone, principalmente

para empresas de servicios financieros y del

sector energético, adoptar un enfoque sofisti-

cado de aproximación al riesgo aceptado me-

diante técnicas cuantitativas. A su vez para or-

ganizaciones avanzadas, indica que pueden

expresar el riesgo aceptado con medidas rela-

tivas al mercado o de capital en riesgo.


34

En este nuevo marco de gestión de riesgos deCOSO, se introducen y definen los conceptosde apetito de riesgo y tolerancia al riesgo co-mo ya se ha explicado con anterioridad. Deesta manera, sugiere que se obtiene un mayorgrado de seguridad sobre el logro de los obje-tivos y especifica que el apetito de riesgo y latolerancia al riesgo, junto a la fijación de ob-jetivos, son precondiciones necesarias para elestablecimiento de un efectivo sistema decontrol interno.

Respecto a los componentes del marco deCOSO, se indica que la identificación de even-tos y la evaluación de riesgos para dar res-puesta a éstos, deben considerarse siempreen relación al apetito de riesgo definido.

De forma adicional, COSO ha publicado en2012 el informe “Understanding and Com-municating Risk Appetite”, con el objetivo deayudar a las entidades a implantar la gestiónde riesgos (ERM). Además de llevar a cabouna perfecta planificación, es necesario de-sarrollar y comunicar a toda la entidad unaclara comprensión del apetito de riesgo defi-nido, integrarlo en el proceso de planificaciónestratégica y no contemplarlo únicamente co-mo un tema teórico de discusión.

Supervisión del Consejo

Alta Dirección

Desarrollay revisa

Supervisa Comunica

Apetitode Riesgo

Para determinar el apetito de riesgo, debenseguirse tres pasos:

1. Desarrollar el apetito de riesgo. La orga-nización debe integrar, y no evitar, el ries-go como parte de su estrategia, estable-ciendo objetivos y desarrollando apetitosde riesgo diferentes, acordes a la misma.No existe una norma o estándar universalde apetito de riesgo aplicable a todas lasorganizaciones, ni existe un “correcto”apetito de riesgo, por lo que la Direccióndebe establecerlo, entendiendo y anali-zando las ventajas y desventajas que im-plica tener un mayor o menor apetito deriesgo.

2. Comunicar el apetito de riesgo. Existendiversos enfoques utilizados para la co-municación del apetito de riesgo. El pri-mer enfoque sugerido es la creación deun estado de apetito de riesgo de caráctergeneral, que refleje los niveles de riesgoaceptables en la consecución de objetivos(mediante su representación en gráficos omapas de riesgos con bandas de riesgoaceptable e inaceptable), lo suficiente-mente amplio y descriptivo como paraque las unidades organizativas puedangestionar sus riesgos de forma consisten-te dentro de la organización. El segundoenfoque es la comunicación del apetitode riesgo para cada uno de los objetivosprincipales de la organización; mientrasque el tercero se centra en comunicar elapetito de riesgo para diferentes catego-rías de riesgo.

3. Controlar y actualizar el apetito de ries-go. Una vez que el apetito de riesgo seacomunicado, los responsables de la ges-tión, con el apoyo de la dirección, debenrevisarlo y reforzarlo. El apetito de riesgono se puede establecer y luego olvidarlo,sino que debe ser revisado en relación ala forma en que opera en la organización,


35

especialmente en las entidades donde elmodelo de negocio está cambiando. Losresponsables deben controlar que las acti-vidades sean realizadas coherentementecon el apetito de riesgo definido, a travésde una combinación de monitorización yevaluaciones separadas. El departamentode Auditoría Interna, a su vez, puede apo-yar en la gestión de este seguimiento.

Cuando se lleve a cabo la supervisión delapetito de riesgo, sugiere que debe incen-tivarse la creación de una cultura en la or-ganización, que fomente la conciencia-ción de los integrantes de la misma acer-ca de los riesgos y su vinculación con losobjetivos de la organización.

International Organization for Stan-dardization (ISO)ISO publicó en 2009 un conjunto de princi-pios y pautas que sirvieran de ayuda a todotipo de organizaciones para afrontar, de unamanera sistematizada y eficaz, el proceso deinstauración de un sistema de gestión de ries-gos.

Si bien no se trata de una norma certificable,muchas organizaciones han adoptado estaperspectiva de gestión de riesgos debido aque el estándar combina los mejores aspectosde varios marcos formales de gestión de ries-gos corporativos.

ISO publicó dos documentos diferentes, perode carácter complementario:

- El estándar ISO 31000: 2009, ”Gestión deRiesgos - Principios y guías de implanta-ción”, que proporciona un marco para quela función de gestión de riesgos dentro deuna organización tenga éxito en la conse-cución de sus propósitos y objetivos. Esteestándar establece, además, un proceso es-pecífico para la gestión de riesgos.

En cuanto al apetito de riesgo, el estándarISO lo menciona expresamente en relacióncon la política de gestión de riesgos, puestoque este documento debe especificar clara-mente el apetito como parte de los objeti-vos y compromisos de la organización conla gestión de sus riesgos. De forma adicio-nal señala la importancia de este conceptoen la fase del proceso relativa a la evalua-ción del riesgo, debido a que influirá en ladecisión de la organización de tratar las si-tuaciones de riesgo de una manera u otra,en función de cómo se haya fijado ese ape-tito.

- De manera complementaria, el documentoISO Guía 73:2009, Gestión de riesgos - Vo-cabulario, detalla –entre otros aspectos–una definición concreta de los conceptos deactitud, apetito y tolerancia de riesgo deuna organización, como se ha detallado en“Introducción” de este documento.

British Standard 31100La BS 31100 es un código de conducta parala gestión de riesgos iniciado en 2006 por uncomité técnico formado por miembros de laindustria, reguladores y académicos, y publi-cado por el Grupo BSI (British Standards Insti-tution) en 2008. Proporciona una guía con re-comendaciones para la gestión de riesgos(principios, modelos, marcos y procesos) a finde ayudar a las organizaciones a alcanzar susobjetivos y a mejorar el resultado a través deuna gestión efectiva del riesgo.

La BS 31100 por su flexibilidad en el lengua-je, está dirigida a organizaciones de todos lostamaños, tanto pequeñas como multinaciona-les. A su vez, busca reducir las duplicidadescon otras normas o marcos de referencia, me-diante la vinculación e integración del lengua-je y las metodologías ya existentes.

El estándar ISO menciona expresamenteel apetito de riesgo yseñala que se debe especificar claramenteel apetito como partede los objetivos y compromisos de la organización con lagestión de sus riesgos.


36

La definición de apetito de riesgo, según la BS31100, debe reflejar los siguientes aspectos:

· Proporcionar orientación y límites sobre elriesgo que se puede aceptar dentro de laorganización.

· Considerar el entorno de la organizaciónoperativa, comprendiendo el valor, la renta-bilidad de la gestión, el rigor de los contro-les y los procedimientos de aseguramiento.

· Reconocer que la organización podría estardispuesta a aceptar una proporción de ries-go más alta de lo normal en un área si elsaldo global de riesgo es aceptable.

· Definir el control, los permisos y sancionesdel entorno, incluyendo la delegación deautoridad en relación con la aprobación dela aceptación del riesgo de la organización.

· Reflejar o incorporar en la política de ges-tión del riesgo de la organización y notifi-carlo, como parte de un sistema de reporteinterno de riesgos de la organización.

Se indica que la definición de apetito de ries-go puede realizarse de dos formas:

· Declaraciones cualitativas.

· Declaraciones cuantitativas.

El perfil de riesgo de la organización se mani-fiesta en el riesgo real al que ésta decide en-frentarse. Debe ser evaluado y considerado enla aplicación de los procesos de gestión deriesgos, debiendo ser objeto de comparacióncon el apetito de riesgo y la gestión adecuadade las medidas adoptadas. Esto puede incluir:

i. Acciones específicas de gestión para ali-near el perfil de riesgos al apetito.

ii. Revisión de la propensión frente al riesgo,de acuerdo con el clima y evolución delnegocio, y / o

iii. Investigación de los casos de riesgos asu-midos que no se están optimizando.

Con relación a la asignación de roles y res-

ponsabilidades, responsabiliza a la Junta Di-

rectiva, Alta Dirección (o equivalente), como

órgano responsable de establecer y/o aprobar

el apetito de riesgo de la organización y los

apetitos de riesgo para las unidades auxiliares

o funciones, debiendo ser comunicada a toda

la organización.

El apetito de riesgo debe ser revisado por la

Alta Dirección (o su equivalente) por lo menos

una vez al año, junto con la estrategia de la

organización y los procesos de planificación.

De esta manera, se consigue que el perfil de

riesgo de la organización y el apetito de ries-

go definido se encuentren alineados, afron-

tando un apetito de riesgo acorde a las carac-

terísticas y situaciones que afecten a la em-

presa en ese momento.

The Institute of Risk Management(IRM)

El IRM ha publicado varios documentos rela-

cionados con la gestión de riesgos empresa-

riales. En concreto, y basándose en las dispo-

siciones recogidas en el UK Corporate Gover-nance Code, ha publicado el documento RiskAppetite & Tolerance, Guidance Paper (The

Ins titute of Risk Management- CroweHo-

warth, 2011), donde se abordan diferentes

cuestiones relacionadas con el desarrollo de

un marco de apetito de riesgo dentro de una

organización.

El documento proporciona una definición

completa e intuitiva del apetito y de la tole-

rancia al riesgo. Establece una serie de nocio-

nes básicas sobre el proceso para poner en


37

marcha este marco. Proceso que divide en lassiguientes fases:

· Diseño del apetito de riesgo, mediante lainteracción de los elementos presentes enla organización, tales como la cultura deriesgos, su capacidad de riesgo, la madurezdel proceso de gestión de riesgos y el esta-blecimiento de diferentes apetitos de ries-go, en función de las diferentes naturalezasy situaciones que se afronten.

· Construcción del apetito de riesgo, partien-do de las capacidades de gestión del riesgopor parte de la organización, se afrontandiferentes niveles de riesgo (a nivel estraté-gico, táctico y operacional) de manera con-junta con la propensión de la organizacióna asumir riesgos y a ejercitar las medidasde control correspondientes.

· Implantación del apetito de riesgo, median-te un proceso dividido en diferentes fases:

1. Diseño inicial del apetito.

2. Búsqueda de compromiso e implicaciónpor parte de los stakeholders.

3. Desarrollo de un marco de apetito deriesgo.

4. Aprobación del marco por parte del Con-sejo.

5. Desarrollar el propio proceso de implan-tación (establecimiento de parámetroscorrectos, participación de implicados, in-corporación a la estructura la organiza-ción, etc.).

6. Informar del proceso interna y externa-mente.

7. Revisar las actuaciones realizadas paradeterminar qué ha ido bien, qué ha sali-do mal y qué se deber hacer de forma di-ferente de cara a próximas ocasiones.

· Gobierno del apetito de riesgo, mediantelos cuatro elementos críticos para que elapetito de riesgo sea útil para la organiza-ción. En primer lugar, la autorización (ele-

mentos para la supervisión del proceso de

establecimiento del apetito); en segundo

término, la medición (medir y evaluar para

determinar el impacto sobre el rendimiento

del negocio); en tercer lugar, el seguimiento

(identificación de desviaciones del proceso)

y, por último, el aprendizaje (identificación

de las áreas de mejora).

En España: Código Unificado de BuenGobierno Corporativo

En el Código Unificado de Buen Gobierno

(Código Conthe), se plasman las recomenda-

ciones efectuadas por el grupo especial de

trabajo que asesoró a la Comisión Nacional

del Mercado de Valores (CNMV) en 2005, pa-

ra la armonización y actualización de las reco-

mendaciones de los Informes Olivencia y Al-

dama sobre buen gobierno de las sociedades

cotizadas.

El Código establece, en relación directa con el

apetito de riesgo, “que la política de control y

gestión de riesgos debe identificar, al menos:

a) Los distintos tipos de riesgo (operativos,

tecnológicos, financieros, legales, reputa-

cionales…) a los que se enfrenta la socie-

dad, incluyendo entre los financieros o

económicos, los pasivos contingentes y

otros riesgos fuera de balance.

b) La fijación del nivel de riesgo que la socie-

dad considere aceptable.

c) Las medidas previstas para mitigar el im-

pacto de los riesgos identificados, en caso

de que lleguen a materializarse.

d) Los sistemas de información y control in-

terno que se utilizarán para controlar y

gestionar los citados riesgos, incluidos los

pasivos contingentes o riesgos fuera de

balance.”

El apetito de riesgo debe ser revisado por laAlta Dirección por lomenos una vez al año,junto con la estrategiade la organización y losprocesos de planificación.


38

Previa implantación del concepto de apetitode riesgo en cualquier organización, es preci-so asegurar que la entidad cuenta con un mo-delo de gestión de riesgos de acuerdo con losprincipios y características definidas previa-mente en este documento. El modelo implan-tado definirá los procesos y actividades pordesarrollar por los empleados de cualquier or-ganización en el ámbito de la gestión de ries-gos y servirá de base para la definición delapetito de riesgo de la compañía.

La implantación del modelo se puede de-sarrollar en 6 pasos:

PASO 1Definición del marco estratégicoLa definición de un marco estratégico facilita-rá a la organización dotarse de una herra-mienta que permita implantar un sistema degestión de riesgos tal como reconoce COSOII8 (“Gestión de riesgos corporativos - Marcointegrado”). Para ello debe incluir, al menos,los siguientes aspectos:

1. Objetivo.- Consistente en determinar lafinalidad de la implantación del sistema,llámese también “visión”; asimismo debeasegurarse que está alineada con los ob-jetivos estratégicos de la organización.

2. Alcance.- Permite definir el ámbito deaplicación así como los integrantes de laorganización para los que serán de obli-gado cumplimiento las directrices, políti-cas y demás procedimientos derivados dela implantación del sistema interno degestión de riesgos. Especialmente útil sise decide establecer un sistema de ges-tión parcial, como puede ocurrir en orga-nizaciones en las que debido a su natura-leza, tamaño o estructura organizativa nosea aconsejable una implantación total.

3. Estrategia.- También llamada “misión”,debe definir las actividades clave que serealizarán con el propósito de cumplir la“visión”. Se deberá incluir la necesidadde desarrollar y comunicar a toda la enti-dad una clara comprensión del apetito deriesgo.

Algunos aspectos adicionales, de caráctermás específico, que debe contemplar el marcodefinido son:

· El compromiso de los grupos de interés pa-ra apoyar una efectiva implantación.

· Procedimiento para la periódica revisión yactualización del marco, de acuerdo con elnivel de madurez en materia de gestión deriesgos de la entidad.

Implantación

8. COSO II en su apartado sobre la relación entre “Incertidumbre” y “Valor” sugiere que “…el valor se maximiza cuandola dirección establece una estrategia y unos objetivos que consiguen un equilibrio óptimo entre las metas de creci-miento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los ob-jetivos de la entidad.”


39

· La aprobación por parte de los órganos degobierno de los cambios organizativos enconcordancia con la implantación del siste-ma.

· Los beneficios que se esperan conseguir,tanto a corto como a largo plazo, gracias ala implantación del sistema.

· La metodología que se va a utilizar paradeterminar de forma periódica cuál ha sidoel resultado obtenido por la entidad graciasa la implantación del sistema.

En definitiva, el diseño y publicación de unmarco estratégico permitirá:

- Dotar a la función de gestión de riesgos deun marco estable y comúnmente conocidopara desarrollar sus actividades.

- Dar a conocer a los grupos de interés (sta-keholders) en qué medida el desarrollo dela función se realizará de forma coherente yalineada con los principios que rigen el go-bierno corporativo.

- Incorporar la gestión de riesgos a la culturade la empresa, como un factor de buen go-bierno para la alta dirección.

PASO 2Establecimiento de principiosAcorde con los niveles de objetivos detalladosen COSO II (“Gestión de riesgos corporativos- Marco integrado”), se debe dotar al ele-mento central de cualquier sistema de gestiónde riesgos, el apetito de riesgo, de unos prin-cipios de gestión, actuación y comportamien-to de la organización:

1. Estratégicos:

- El principio clave de la función es man-tener alienada la estrategia de la orga-nización con el perfil de riesgo de lamisma.

- Adicionalmente, debe permitir instru-mentalizar una escala de delegación deresponsabilidades y de gestión para los

distintos riesgos en función de la expo-sición respecto al apetito fijado.

2. Operacionales:

- Se debe integrar la identificación deriesgos en la toma de decisiones opera-tivas.

- Una vez definido el apetito de riesgo alnivel más alto de la organización, debeconcretarse de forma consistente en lasdiferentes categorías de riesgos y/o áreas que compongan la organización.

- Los límites de riesgo definidos debencomunicarse e integrarse en el día a díade la organización, mediante una defi-nición de los comportamientos y varia-bles aceptables de desempeño.

- En este nivel operativo, se deben definirindicadores de riesgo correlacionadoscon las variables clave (Key Risk Indica-tors), que permitan realizar un segui-miento de los mismos, así como dispo-ner de un sistema de alertas y de ges-tión de la actividad.

3. Información:

- Se debe definir una estructura de repor-te alineada con el apetito de riesgo fija-do, que permita la comunicación rápi-da, clara y transparente de informacióncuando los riesgos se materialicen fue-ra de los niveles del apetito.

- El intercambio de información de la or-ganización con el exterior debe consi-derar las diferentes actitudes de los di-versos grupos de interés respecto a ca-da riesgo.

- Es necesario definir un lenguaje común,así como pautas claras de comunica-ción alrededor de la gestión de riesgosy del apetito.

4. Cumplimiento:

- Asegurar que la función de gestión deriesgos de la organización cumple con


40

la normativa establecida por órganos oinstituciones reguladores de su ámbitode actuación.

- Adicionalmente, observar las recomen-daciones de gobierno corporativo reali-zadas por las instituciones de referenciacon el objetivo de ofrecer un mensajede confianza a los grupos de interés.

PASO 3 · Descripción organizativaLa estructura de gobierno de la organizaciónha de facilitar la gestión integral del riesgo, yproporcionar los canales adecuados de comu-nicación para transmitir la información relati-va, desde los niveles de apetito de riesgo has-ta el tratamiento de los riesgos.

1. Estructura

Podemos dividir, de forma muy generali-zada, los siguientes niveles de estructurade una organización, en línea con el mo-delo de las “Tres Líneas de Defensa” defi-nido por ECIIA y FERMA9:

- Órganos de gobierno. Son los represen-tantes de la propiedad u órganos res-ponsables de las organizaciones, por

ejemplo, Consejo de Administración,Junta Directiva, etc.

Con el propósito de facilitar las actua-ciones de las que son responsables,pueden delegar en comisiones o comi-tés que, en el caso que nos ocupa, po-demos considerar los Comités de Audi-toría, de Riesgos o de Control Interno.

- Alta Dirección. Formada por los em-pleados de mayor rango de la organiza-ción, junto a aquellos directivos queformen parte de los órganos ejecutivosy de dirección (por ejemplo, Comités deDirección, Comités Ejecutivos, etc).

- Función de Gestión de Riesgos. Aque-llos empleados que formen parte, tantoparcial como completamente, de la de-finición, diseño, desarrollo, implanta-ción y/o coordinación del sistema inter-no de gestión de riesgos que se esta-blezca en cada organización.

- Gestores de Riesgo. Formado por los di-rectivos que no forman parte de la altadirección y demás empleados de la or-ganización que estén de forma directao indirecta relacionados con la gestióndiaria de riesgos de la empresa.

9. ECIIA, Confederación Europea de Institutos de Auditores Internos. FERMA, Federación Europea de Asociaciones de Ges-tión de Riesgos


41

2. Funciones y responsabilidades

Partiendo de las funciones básicas sobrela gestión de riesgos, podremos determi-nar los diferentes niveles de responsabili-dad. Destacamos las siguientes funciones:

- Determinar el contexto, es decir, el en-torno estratégico en el cual la organiza-ción gestionará los riesgos. La respon-sabilidad de su establecimiento recaeen los órganos responsables. Adicional-mente se debe asegurar que dichos ór-ganos así como la alta dirección dispo-nen de los conocimientos y capacida-des necesarias para llevar a cabo susfunciones y responsabilidades, todo ellocon la honorabilidad y ética que se pre-supone para esos puestos.

- Identificación de los riesgos, así comolas valoraciones para determinar susposibles impactos y su probabilidad dematerialización. Mientras la identifica-ción será responsabilidad tanto delÁrea de Negocio como de la Alta Direc-ción (en función de la metodología uti-lizada: ascendente –bottom-up– odescen den te –top-down–), es recomen-dable que la opinión final de la valora-ción recaiga en la función de gestión deriesgos, aunque siempre estaría supedi-tada a la información remitida por lasáreas, por lo que puede considerarseque existiría una responsabilidad con-junta.

- El tratamiento de los riesgos será reali-zado por cada gestor de riesgos.

- Evaluación y seguimiento de los resul-tados, funciones cuya responsabilidadfinal recae principalmente en la alta di-rección, aunque para determinados ni-veles y tipos de riesgo, puede elevarsehasta los órganos de gobierno.

- Monitorización y redacción del reporterecae bajo la responsabilidad de la fun-ción de gestión de riesgos mientras quela revisión de los niveles de apetito deriesgo, en función de los resultados, se-rá realizada por la alta dirección.

- Supervisión o evaluación independientede la eficacia de la función de gestiónde riesgos así como de las medidas decontrol existentes, será realizada porlos órganos de gobierno y principal-mente por su órgano delegado del Co-mité de Auditoría (y consecuentementemediante la función de Auditoría Inter-na).

- Comunicación y promoción de la cultu-ra de gestión de riesgos, recaerá su res-ponsabilidad principalmente en la Fun-ción de Gestión de Riesgos, sin olvidarque la cultura de riesgos debe integrar-se en todos los niveles de la organiza-ción y estar debidamente apoyada porlos órganos responsables.

PASO 4Asignación de los niveles de riesgo1. Apetito de riesgo

- La dirección y los órganos responsablesdeben establecer y aprobar el apetitode riesgo de la compañía, así comocomprender las ventajas y desventajasderivadas de fijar un apetito de riesgoen un determinado nivel. Es importanterecordar que no existe una definiciónde apetito de riesgo universal o válidapara todas las organizaciones.

- En su definición, el apetito de riesgodebe tener en consideración un sistemade seguimiento y control de riesgosque, de forma periódica, informe de laadecuación del perfil de riesgos de la

El apetito de riesgo debe tener en consideración un sistema de seguimientoy control de riesgosque, de forma periódica, informe de la adecuación del perfil deriesgos de la organización a las políticas de riesgo aprobadas y a los límites de riesgo establecidos.


42

organización a las políticas de riesgoaprobadas y a los límites de riesgo es-tablecidos.

- El establecimiento de políticas y proce-dimientos de riesgos permite constituirun marco normativo propio a través delcual regular las actividades y procesosde riesgos. El apetito de riesgo debe sercapaz de enlazar los objetivos de la or-ganización con los niveles de riesgoque está dispuesta a asumir, alineandoa los integrantes de la organización,procesos e infraestructuras. Tambiéndebe facilitar el seguimiento de los ries-gos y las decisiones de negocio en baseal riesgo y ser una herramienta de co-municación clara y precisa para los ges-tores de la entidad y los grupos de inte-rés de la organización.

- Hay que destacar que la capacidad dedefinir el apetito de riesgo requiere deentidades con sistemas de gestión deriesgos desarrollados y optimizados,tratando de que los perfiles de riesgosea fácilmente entendibles.

2. Tolerancia al riesgo

- Corresponde a los órganos responsa-bles de la organización establecer yaprobar la tolerancia al riesgo, la cualdebe reflejar la cantidad máxima de unriesgo que la entidad está dispuesta aaceptar para lograr sus objetivos.

- Una vez definidos el apetito y la tole-rancia al riesgo, se deben fijar una seriede niveles de alerta, que informencuando el riesgo asumido por una enti-dad se vaya aproximando a su nivel detolerancia.

- En caso de sobrepasar los niveles detolerancia establecidos, se deberá infor-mar a los órganos responsables para

adoptar las medidas de gestión necesa-rias que permitan reconducir la situa-ción de la organización para retornar alperfil de riesgo deseado.

PASO 5 · Metodología de cálculoComo se ha indicado anteriormente, en fun-ción del tipo de organización, pública o priva-da, y del sector de actividad de la misma, lametodología y cálculos que se empleen po-drán variar de una entidad a otra. En cual-quier caso, sea cual sea la naturaleza de laentidad, el objetivo que se pretende alcanzares el de optimizar el binomio riesgo-rentabili-dad.

Normalmente, la metodología de implanta-ción del apetito de riesgo se establece tenien-do en cuenta el tipo de riesgo, producto,cliente y distribución geográfica específica dela empresa en cuestión.

1. Cálculo

- A la hora de determinar las métricasdel apetito de riesgo se ha de tener encuenta que éstas deberían ser cuantifi-cables y homogéneas entre sí y conotras métricas empleadas por la organi-zación. Del mismo modo, sería deseableque el apetito de riesgo pudiera ser ex-presado en términos económicos, o co-mo un porcentaje de un valor, tal comoventas, capital, patrimonio neto de laorganización.

- La selección de métricas se realiza ha-bitualmente cuando se define el apetitode riesgo y se establecen los límites detolerancia al riesgo.

- Los criterios y métricas deben ser apro-bados al menos una vez al año. El con-trol y seguimiento, con distintas perio-dicidades, se establecerá en función de

Se deben fijar una seriede niveles de alerta,que informen cuando elriesgo asumido por unaentidad se vaya aproximando a su nivelde tolerancia.


43

la métrica y del responsable del con-trol/seguimiento.

- Las métricas utilizadas para determinarel apetito de riesgo son diversas y va-rían en función del sector de actividad.Como se ha explicado con anterioridad,éstas pueden tener en cuenta tanto ele-mentos cuantitativos como cualitativos.Sería recomendable el análisis de esce-narios y los tests de estrés que permi-tan valorar los impactos de escenariospoco probables pero factibles.

- El objetivo principal del empleo de mé-tricas es determinar la cantidad de ries-go asumida y el rendimiento obtenido,para permitir a la alta dirección gestio-nar la sociedad en base a riesgos.

- Es aconsejable que la entidad dispongade las métricas e infraestructuras nece-sarias para garantizar su gestión. Asi-mismo, la información que se empleeen las métricas ha de ser homogéneapara todos los negocios y productos.Las métricas han de ser consistentes ycorrectas, con el nivel de segmentaciónnecesario, además de tener que estardisponibles a tiempo.

- Para organizaciones complejas, com-puestas por múltiples unidades de ne-gocio, se tendrán en cuenta otra seriede métricas transversales, tales comométricas de concentración y diversifica-ción, que serán de aplicación para elconjunto de las unidades de la organi-zación.

2. Priorización

- En función de los resultados obtenidosde las métricas, se debe establecer unajerarquía que permita priorizar aquelloscasos que representen una mayor criti-cidad para la entidad, los cuales debe-rán ser analizados para tomar medidas

encaminadas a su reducción o elimina-ción. Por otro lado, se analizarán aque-llos supuestos en los que la asunciónde un mayor grado de riesgo se com-pensa con un incremento de la rentabi-lidad, con el objeto de obtener ventajascompetitivas.

- Este análisis de prioridades facilita laasignación de recursos de una formamás eficiente para la organización.

PASO 6Comunicación, actividades de controly supervisión

1. Comunicación del apetito de riesgo

Una vez que las organizaciones han defi-nido claramente su apetito de riesgo, losórganos responsables deberán comunicar-lo a toda la organización, de forma que segarantice que todas las acciones de lacompañía se alineen con su nivel de ape-tito de riesgo. Al mismo tiempo, la direc-ción debería hacerlo operativo, estable-ciendo los niveles necesarios para queaplique en todas las unidades de negocioy sobre todos los riesgos relevantes de lacompañía.

Como punto de partida, es recomendableelaborar un documento global con la de-claración de la compañía sobre su apetitode riesgo, lo suficientemente amplia ydescriptiva, para que las unidades organi-zativas gestionen sus riesgos de formaconsistente. Esta declaración puede sermuy variada y las organizaciones puedencomunicar su nivel de apetito de riesgocon distintos niveles de detalle o preci-sión.

Algunas organizaciones lo comunican entérminos muy amplios (por ejemplo, ban-das de colores en los mapas de riesgosque identifican los niveles aceptables vs

Es recomendable elaborar un documentoglobal con la declaración de la compañía sobre su apetito de riesgo, lo suficientemente ampliay descriptiva, para quelas unidades organizativas gestionensus riesgos de formaconsistente.


44

inaceptables), otras los concretan para ca-da uno de los objetivos operacionales(por ejemplo, una compañía que prestaservicios de salud puede establecer unapetito de riesgo mínimo para los objeti-vos de cumplimiento y de salud y seguri-dad, y otro superior en objetivos de repor-te o estratégicos), mientras que otras loestablecen por categoría de riesgo (eco-nómico, entorno, personal, tecnología,etc.).

Por todo ello se debe establecer un len-guaje común que mejore la comunicaciónentre los grupos de interés y ofrezca unaimagen fiel de la organización.

2. Seguimiento y actualización del apetitode riesgo

Una vez que el apetito de riesgo ha sidodefinido, comunicado e implantado, esimportante que se realice un seguimientoy actualización periódica del mismo.

El apetito de riesgo no es un conceptoque deba ser definido y olvidado parasiempre, sino que debe ser revisado enfunción de la operación de la compañía,especialmente si ésta cambia su modelode negocio, y teniendo en cuenta tambiénlos cambios en el entorno en el que ope-ra.

La dirección debe supervisar las activida-des de acuerdo con el apetito de riesgo,combinando el seguimiento y las evalua-ciones independientes. La función de Au-ditoría Interna puede apoyar a la gestiónen este seguimiento. Las organizaciones,al controlar el apetito de riesgo, deberíancentrarse en crear una cultura que seaconsciente de los riesgos y con metas or-ganizacionales compatibles con las de losórganos responsables.

3. Actividades de control

La función de Auditoría Interna ha adqui-rido un papel relevante dentro del proce-so de gestión de riesgos mediante su acti-vidad de control en la entidad. Adicional-mente, dado el ámbito de actuacióntransversal que Auditoría Interna realizadentro de las organizaciones, estaría endisposición de prestar su colaboración pa-ra asesorar al Consejo a la hora de esta-blecer el apetito de riesgo para la enti-dad, siempre con la garantía de la inde-pendencia de la función de Auditoría In-terna en este proceso.

Otros aspectos destacados que puede lle-var a cabo Auditoría Interna relacionadoscon el apetito de riesgo son:

· Asesoramiento en la determinación delos principales riesgos que afectan a laentidad, definir su grado de aceptacióny la medida en que éstos influyen en laconsecución de los objetivos estratégi-cos.

· Comprobar que la tolerancia al riesgo yel apetito de riesgo se encuentran ali-neados, así como verificar que los con-troles y sistemas de alerta de desviacio-nes son eficaces para reconducir los ni-veles de riesgo, en caso de que éstossuperasen los límites establecidos.

· Revisar y validar el empleo de los ma-pas de riesgos.

· Revisar que el binomio aceptación deriesgo-rentabilidad, determinado en elapetito de riesgo, es asumible para laentidad y que no pone en peligro sucontinuidad.

· Supervisar que las métricas empleadasen la medición de riesgos son adecua-das y que expresan de forma fiel el ries-go que tratan de valorar, así como lacalidad de la información empleada pa-

La dirección debe supervisar las actividades para su consistencia con el apetito de riesgo combinando el seguimiento y las evaluaciones independientes. La función de AuditoríaInterna puede apoyar ala gestión en este seguimiento.


45

ra dicho fin. Podría revisar también si

los resultados obtenidos se adecuan a

los objetivos establecidos por la com-

pañía.

Otros aspectos relevantes de la funciónde Auditoría Interna incluyen proporcionar

aseguramiento en el cumplimiento de la

normativa vigente, de los procesos de

Gestión de Riesgos, la revisión del grado

de implantación de las medidas de miti-

gación, y del grado de seguimiento y apli-

cación del apetito de riesgo.

LA FUNCIÓN DE AUDITORÍA INTERNA EN RELACIÓN AL APETITO DE RIESGO

Colaborar en el asesoramiento al Consejo a la hora de establecer el apetito de riesgo

Asesorar en la determinación de los principales riesgos que afectan a la entidad

Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados

Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados

Revisar y validar el empleo de los mapas de riesgos

Revisar que el binomio riesgo/rentabilidad, determinado en el apetito de riesgo, es asumible

Supervisar que las métricas empleadas en la medición de riesgos son adecuadas

Proporcionar aseguramiento en el cumplimiento de la normativa vigente

Revisar el grado de implantación de las medidas de mitigación

Revisar el grado de grado de seguimiento y aplicación del apetito de riesgo

4. Supervisión

Sectores como el bancario y el aseguradorcuentan con el marco normativo de Basi-lea y Solvencia II respectivamente, en losque se plasma el interés que reguladoresy supervisores tienen en que el apetito deriesgo se emplee en el sector financierodentro de la Gestión de Riesgos. Se trata,

en definitiva, de garantizar que las entida-des disponen de una herramienta que lespermita gestionar sus riesgos e incremen-te la probabilidad de conseguir sus objeti-vos de solvencia en la toma de decisiones.

Al margen de las exigencias regulatorias,la supervisión del apetito de riesgo, debeir encaminada a promover la creación de


46

una cultura de gestión de riesgos en la or-ganización, y a que todos sus integrantestomen conciencia de la importancia degestionar su actividad teniendo en cuentael riesgo que asumen y su grado de vincu-lación con los objetivos de la organiza-ción.

Este hecho debe considerarse especial-mente en aquellas entidades que desarro-llan su actividad en sectores en los queno existe regulación específica al respec-to. Éstas deberán responsabilizarse de lle-var a cabo un ejercicio de auto-supervi-

sión que garantice la correcta integracióndel apetito de riesgo, y de la gestión deriesgos en su conjunto, dentro de la orga-nización.

ResumenA continuación se muestra un cuadro resu-men de los pasos, acciones y responsablesque deben considerarse a la hora de implan-tar el apetito de riesgo como parte integrantedel sistema de gestión de riesgos de una or-ganización.

Definición marco estratégico

PASOS

1Objetivo, alcance y estrategia Órganos

de Gobierno

Establecimiento de Principios

2 Estratégicos, operacionales,información y cumplimiento Todos

Descripción organizativa

3 Estructura, funcionesy responsabilidades Todos

Asignación niveles de riesgo

4Apetito y tolerancia al riesgo Órganos

de Gobierno

Metodología de cálculo

5Cálculo. Priorización Función Gestión de

Riesgos. Alta dirección

Comunicación, actividadesde control y supervisión

6 Comunicación, seguimientoy actualización del apetito de riesgo

Actividades de controlSupervisión

Órganos de Gobiernoy alta dirección

Auditoría Interna

Órganos reguladores

ACCIONES / HITOS RESPONSABLES

IMPLANTACIÓN DEL APETITO DE RIESGO · SISTEMA DE GESTIÓN DE RIESGOS


47

A lo largo del documento se han expuesto los

principales conceptos, utilizaciones, metodo-

logías de aproximación y cálculo, unas breves

notas sobre los estándares que abordan el

apetito de riesgo, así como una propuesta sis-

temática para su implantación en una organi-

zación. Para finalizar, se abordarán las princi-

pales lecciones aprendidas y conclusiones por

extraer de los aspectos tratados.

El apetito de riesgo es un instrumento de ges-

tión cuyo uso formal es reciente. El sector fi-

nanciero ha sido el pionero en el uso de este

concepto. La crisis financiera iniciada en 2007

y la caída de diversas instituciones de esta ín-

dole pueden hacer pensar que este tipo de

gestión no es útil. Nada más lejos de la reali-

dad. El fracaso de dichas organizaciones

mues tra que tener implantados modelos de

gestión de riesgos y de apetito de riesgo no

asegura el éxito, aunque es un punto de parti-

da imprescindible. Pero existen una serie de

condiciones necesarias que deben darse al

mismo tiempo para asegurar su efectividad,

como que las organizaciones fijen de manera

clara su estrategia y su apetito de riesgo en el

corto, medio y largo plazo, que los riesgos se

midan adecuadamente, que la exposición a

ellos sea éticamente responsable y se encuen-

tre controlada y, por último, que las organiza-

ciones entiendan las implicaciones de estar

expuestas a determinados riesgos.

Los problemas vividos principalmente por em-presas financieras en los últimos años, ponende manifiesto la relevancia de contar con me-didas adecuadas del grado de exposición delos riesgos, así como una gestión profesionaly responsable de los mismos. Una organiza-ción puede afrontar situaciones puntuales enlas que, por razones tácticas o estratégicas,pueda necesitar una exposición a los riesgossuperior a su apetito e incluso a su tolerancia.No obstante, en el medio y largo plazo estaopción no es sostenible. El apetito de riesgoayuda a reflexionar y a determinar las estrate-gias y decisiones viables apoyando la toma dedecisiones.

¿QUÉ OBJETIVOS TIENE LA GES-TIÓN DEL APETITO DE RIESGO?En determinadas organizaciones, el apetito deriesgo es una pieza esencial para garantizar elcumplimiento de ciertas normativas y reco-mendaciones de buen gobierno, que exigenimplantar e informar sobre sus sistemas degestión y control de riesgos. Un enfoque ba-sado exclusivamente en esta faceta es comúnen empresas cotizadas o en sectores regula-dos que afrontan dichos requerimientos lega-les en su actividad.

Sin embargo, el apetito de riesgo no debequedarse exclusivamente como un tema aso-ciado al cumplimiento, sino que es importante

Los problemas vividos principalmente por empresas financierasen los últimos años, ponen de manifiesto larelevancia de contarcon medidas adecuadasdel grado de exposiciónde los riesgos, así comouna gestión profesionaly responsable de losmismos.

Lecciones aprendidas y conclusiones


enfocarlo como una herramienta clave deapoyo a la gestión organizativa y con un pa-pel activo en la toma de decisiones. Se trataen definitiva de evaluar qué eventos son asu-mibles por la organización de acuerdo a suestrategia y cuáles no. Es en este caso cuandola implantación del apetito de riesgo suele serfuente de ventajas competitivas. Dar el saltohacia este tipo de modelos y embeber el ape-tito de riesgo en la asignación de responsabi-lidades, flujos de reporte y tareas diarias, re-quiere que una organización cuente con unacultura organizativa sensible a la gestión deriesgos así como con una dotación de recur-sos suficientes para dicha tarea. Este enfoquees común en empresas del sector financiero,más acostumbradas a una gestión sofisticadade los riesgos pero cada día prolifera más enotros sectores menos regulados.

¿QUÉ CONDICIONES PREVIASREQUIERE?La condición necesaria para hacer explícito yútil el apetito de riesgo de una organizaciónes tener implantados los elementos funda-mentales de un sistema de gestión de ries-gos.

Existen diversos grados de madurez y de - sarrollo en los sistemas de gestión de riesgos,

no obstante, sin un proceso de gestión que

permita identificar, analizar, evaluar, decidir y

comunicar los riesgos afrontados, el apetito

de riesgo carece de sentido. Esta afirmación

no significa que las organizaciones no tengan

actitud frente al riesgo, elemento que siempre

va a estar presente en ellas, sino que sin un

sistema de gestión de riesgos previamente

implantado, no merece la pena hacer explíci-

tas esas actitudes mediante el apetito de ries-

go.

Los sistemas integrales de gestión de riesgos

son una buena práctica de gestión y cada vez

más organizaciones, de todos los tamaños y

sectores, implantan estos procesos de segui-

miento y control de riesgos.

Adicionalmente, otra pieza clave que sustenta

el apetito de riesgo es la cultura organizati-

va. El apetito de riesgo, al igual que el proce-

so de gestión de riesgos en el que se enmar-

ca, debe ser parte de la cultura de la organi-

zación que cohesiona a las personas, los pro-

cesos y los recursos que la integran. Las orga-

nizaciones que aspiran a disponer de un ape-

tito de riesgo efectivo y útil deben entender la

aportación de valor que supone este tipo de

gestión, así como hacer conscientes a sus

miembros de la relevancia de la gestión de

riesgos, y favorecer los valores de comunica-

ción abierta, gestión activa y responsabilidad.

La superación del escepticismo inicial y resis-

tencia al cambio, que suele acompañar estas

iniciativas, es un problema complejo cuya so-

lución consume tiempo y recursos; dicha solu-

ción necesariamente pasa por hacer partíci-

pes a los miembros de la organización del sis-

tema de gestión de riesgos y por contar con

el apoyo incondicional de los órganos respon-

sables.

48

CUMPLIMIENTO GESTIÓNORGANIZATIVA

APETITODE

RIESGO


49

¿POR DÓNDE EMPIEZO?La determinación del apetito de riesgo debeestar soportada por la alta dirección, inde-pendientemente del enfoque escogido parasu implantación y evaluación (top-down obottom-up, como ya se ha visto). Es im pres-cindible contar con el compromiso de los má-ximos responsables de la organización, quegarantizarán su aplicación, utilidad y consis-tencia. Un error básico consiste en desarrollarsistemas de apetito de riesgo, matemática yestadísticamente sofisticados, excesivamenteteóricos, pero que carecen del apoyo y enten-dimiento por parte de la alta dirección, lo quedificulta su implantación en la organización yreduce las posibilidades de éxito.

El apetito de riesgo debe vincularse a los ob-jetivos básicos de una organización. No esoperativo establecer apetitos de riesgo sobrevariables que no son relevantes en la toma dedecisiones. De esta forma, se garantizará lacorrecta comunicación y entendimiento de to-dos los miembros de la organización.

FACTORES CLAVE DE ÉXITO:¿QUÉ PRINCIPIOS DEBEN GUIARSU IMPLANTACIÓN?El apetito de riesgo de una organización debecumplir con los siguientes principios básicospara garantizar su eficiencia y utilidad.

EficienciaAl igual que todo sistema de gestión y con-trol, durante su implantación es importanteconsiderar los costes y los beneficios aso-ciados al mismo. Si los costes exceden a losbeneficios, no merece la pena avanzar haciaeste modelo de gestión. Entre los beneficios aconsiderar hay que incluir los relacionados

con la mejora en la gestión de riesgos, asig-nación de responsabilidades, comunicación ycontrol interno. Se tratan de beneficios intan-gibles, por lo que tienden a olvidarse, pero nopor ello son menos relevantes.

ProporcionalidadEl grado de sofisticación en la determina-ción del apetito de riesgo debe ser propor-cional a la complejidad del sector, de lasoperaciones y de los procesos de toma dedecisiones de la organización. Desarrollar elapetito de riesgo no es un fin en sí mismo, nidebe consumir una cantidad desproporciona-da de recursos. Las organizaciones de peque-ño tamaño no necesitan contar con modelossofisticados de apetito de riesgo. La máximaesencial es que la fijación del apetito de ries-go se debe mantener de la manera más sim-ple posible.

FlexibilidadNo existe un apetito de riesgo único o váli-do para todas las organizaciones. El apetitode riesgo debe reflejar las diferentes tipologí-as de riesgos afrontadas por las organizacio-nes y las actitudes de sus grupos de interés.Ambas variables son únicas para cada organi-zación, por lo que también lo será la forma dedeterminar su apetito de riesgo. Asimismo, elapetito de riesgo es un concepto dinámico,que varía al igual que lo hace el entorno en elque se mueve una organización, que se trans-forma con la propia organización y que, portanto, requerirá su actualización periódica.

ConcreciónEl apetito de riesgo en cualquier caso debeser conciso e idealmente también debe sermedible. Se trata de una métrica para consi-derar si un riesgo es aceptable, o no, por par-

El apetito de riesgo, aligual que el proceso degestión de riesgos en elque se enmarca, debeser parte de la culturade la organización quecohesiona a las personas, los procesos ylos recursos que la integran.


50

te de una organización, por lo que va a ser

utilizada en los procesos de gestión de ries-

gos y toma de decisiones. Por lo tanto, debe

ser una medida lo suficientemente precisa co-

mo para poder ser comunicada, aplicada y

poder realizar un seguimiento adecuado de

su utilización. En caso contrario, se corre el

riesgo de contar con conceptos abstractos, de

difícil aplicación y con escasa utilidad.

Integración

El apetito de riesgo es una pieza fundamen-

tal del sistema de gestión de riesgos. Debe

referirse a los objetivos de la organización e

integrarse en la cultura organizativa. Asimis-mo, independientemente del alcance en suimplantación, sea con vocación de herramien-ta de cumplimiento o de gestión, también esuna pieza esencial en el sistema de controlinterno de una organización. Un paso poste-rior consistirá en su integración con los proce-sos operativos y de gestión, vinculando, porejemplo, la retribución de los miembros de laorganización, a una gestión adecuada y res-ponsable del apetito de riesgo en los diferen-tes niveles organizativos, pero estas aplicacio-nes sólo son recomendables una vez se dis-ponga de un modelo estable y suficientemen-te maduro.

DECÁLOGO PARA LA FIJACIÓN Y USO DEL APETITO DE RIESGO

1 Vincule la estrategia y las decisiones al apetito.

2 En toda toma de decisiones considere los riesgos asociados.Entiéndalos de forma íntegra y mídalos de manera exhaustiva.

3 Conozca los objetivos de la organización, en función de ellos determine su apetitode riesgo.

4 Evalúe la capacidad total de soportar riesgos. Es necesario que el apetito sea menor que lacapacidad de riesgo. Adicionalmente, es recomendable tener cierto margen de tolerancia.

5 Mantenga simple el apetito de riesgo, ayudará a entenderlo.

6 Comunique de forma clara el apetito a todas las partes implicadas.

7 Asegúrese de que la información utilizada para medir los riesgos y el apetito de riesgoestá actualizada y es adecuada, tanto en cantidad como en calidad.

8 Apóyese en los marcos de referencia existentes y asegúrese de cumplir con la regulaciónaplicable.

9 Evalúe de forma periódica el apetito de riesgo. Debe ser dinámico.

10 Controle y supervise de forma continua cómo se adecúa la organización a esta filosofía,siempre hay margen de mejora.



Apetito de Riesgo



ANEXOS

52

COSO

Risk Appetite: the broad - based amountof risk an entity is willing to accept in pur-suit of its mission/vision.

Risk Tolerance: The acceptable level of va-riation in performance relative to theachie vement of objectives

British Standards, BS 31100 October2008

Risk appetite: the amount and type of riskthat an organization is prepared to seek,accept or tolerate.

ISO 31000 / Guide 73 BS31100

Risk appetite: Amount and type of riskthat an organization is willing to pursue orretain.

The Institute of Risk Management(IRM), “Risk Appetite & Tolerance Gui-dance Paper”

Risk appetite: The amount of risk that anorganization is willing to seek or accept inthe pursuit of its long term objectives.

Risk tolerance: The boundaries of risk ta-king, outside of which the organization is

not prepared to venture in the pursuit ofits long term objectives.

Risk capacity: the ability to carry risks, andthe risk management maturity to managethem.

Anexo I · Definiciones

Anexo II · Detalle de los Marcos de ReferenciaDurante los últimos años, la gestión inte-gral de riesgos ha alcanzado una dimen-sión cada vez más importante entre orga-nizaciones de diferentes características, yasean de naturaleza privada, pública o enti-dades sin ánimo de lucro. Esta importanciase ha puesto aún más de manifiesto, comoconsecuencia de la difícil situación de crisisque afecta a la economía mundial desde2008.

Por ello, tanto gobiernos como entidades

de toda índole han dado pasos considera-

bles hacia el establecimiento de un nuevo

marco, que aporte cierto grado de estabili-

dad a las diferentes operativas que compo-

nen la actividad económica. Los esfuerzos

más exigentes se han producido en el ám-

bito del sector financiero, dada la impor-

tancia y el peso relativo del mismo en el

conjunto de la economía, aunque también

se han realizado actuaciones extensivas al

resto de sectores económicos. Regulacio-

nes específicas sectoriales, normativa legal,

principios y pautas basadas en las mejores

prácticas… todas ellas pretenden estable-

cer unos límites razonables para la asun-

ción de riesgos por parte de los actores

económicos, que sean acordes a sus objeti-

vos y estructuras y que contribuyan a evi-

tar, en la medida de lo posible, situaciones

como las que se han vivido durante los úl-

timos años.

Existen multitud de marcos de referencia

que hablan de la gestión de riesgos em-

presariales y hacen mención al perfil o

apetito de riesgo que debiera existir en las

organizaciones, pero hemos considerado

necesario hacer una selección de los más

representativos. Asimismo, hemos dividido

esta selección en dos partes, las exigencias

normativas o regulatorias en la materia y

las mejores prácticas internacionales.

Exigencias de carácter obligatorio

La evolución de la situación económicamundial ha favorecido la aparición de dife-

rente normativa para la regulación de cier-tas actividades que mantienen un alto gra-do de influencia en el resto de las activida-des económicas.

El peso y la importancia del sector finan-ciero y en particular el negocio bancario yel asegurador, por ejemplo, ha provocadoque se diseñen marcos de supervisión deestas actividades, donde se hace un hinca-pié especial en los procesos de control ygestión de riesgos y donde se pone elacento en el tipo y la cantidad de riesgoque estas instituciones deben afrontar. To-do ello con la finalidad de poder cumplircon sus compromisos y objetivos, sin sufriruna excesiva exposición a situaciones po-tencialmente perjudiciales para ellas mis-mas y para el resto del conjunto de la eco-nomía. A continuación señalamos las másrepresentativas:

Marco regulador para entidades banca-rias (Basilea III).

En 1974 se creó el Comité de SupervisiónBancaria de Basilea, y en 1988 se publicó


53

el primer acuerdo “Basilea I”, donde seproponían las normas mínimas que deberí-an cumplir las entidades financieras paramantener el control prudente de sus ope-raciones. Fruto de las limitaciones impor-tantes derivadas de la innovación financie-ra emergente, en 2004 se publicó “BasileaII”, con el objetivo de unificar la mediciónde los riesgos de los distintos reguladoresy supervisores internacionales, a fin de po-der homogeneizar la legislación y regula-ción bancaria en materia de riesgos.

En 2010 el Comité de Supervisión Bancariade Basilea publicó “Basilea III” con el pro-pósito de mejorar la capacidad del sectorbancario para absorber perturbacionesprocedentes de tensiones financieras yeconómicas derivadas de la crisis financie-ra internacional iniciada en 2007. BasileaIII reforzaba la regulación internacional so-bre el capital y la liquidez. Aparte de lasnuevas exigencias, introduce un nuevo en-foque y principios fundamentales de ges-tión y supervisión de los riesgos financierosy organizativos.

En la revisión de Basilea III de junio de2011, se responsabiliza explícitamente a laalta dirección de las entidades de la defini-ción de la cantidad de riesgo que estándispuestos a aceptar en su visión. Textual-mente:

“La alta dirección debe asumir un papel deliderazgo en la integración de las pruebasde tensión en el marco de la gestión deriesgos del banco y de su cultura de ries-gos, y garantizar que los resultados sonsignificativos y se aplican diligentemente ala gestión del riesgo de crédito de contra-parte. Como mínimo, los resultados de laspruebas de tensión para exposiciones sig-nificativas deben compararse con las direc-trices que explicitan el apetito del bancopor el riesgo, así como analizarse y servirde base para adoptar medidas ante riesgosexcesivos o concentrados.”

Aunque los acuerdos del Comité de Super-visión Bancaria de Basilea son recomenda-ciones sobre regulación y supervisión ban-caria no vinculantes, han sido adoptadospor numerosos países e integrados en suregulación local.

En la última publicación del Comité de Su-pervisión Bancaria de Basilea “PrincipiosBásicos para una supervisión bancaria efi-caz” de 2012, se detallan los 29 principiosbásicos que considera necesarios para laeficacia del sistema financiero, debiendoser evaluados por las autoridades naciona-les, para tener en cuenta las circunstanciasespecíficas de cada país y cubrir todas lasnecesidades y circunstancias de cada siste-ma bancario.

En esta publicación, se atribuye al Consejode los bancos la tarea de fijar el nivel deriesgo agregado que está dispuesto a asu-mir y gestionar en aras de los objetivos denegocio de la entidad.

Los principios se agrupan en dos grandescategorías:

- Principios 1 a 13: se centran en las po-testades, atribuciones y funciones de lossupervisores.

- Principios 14 a 29: se centran en las re-gulaciones y requisitos prudenciales quedeben cumplir los bancos.

En varios de los principios recomendadosen la segunda categoría (regulaciones y re-quisitos prudenciales), que cubren riesgoscomo el de crédito, el operacional, el de li-quidez, o el de mercado, indica que los sis-temas deben tener siempre en cuenta elapetito de riesgo y el perfil de riesgo delbanco, así como la situación macroeconó-mica y de los mercados.

Comprendido en el principio de “GobiernoCorporativo”, como criterio esencial, sehace especial énfasis en que deben esta-blecerse claramente las atribuciones delConsejo y la alta dirección del banco, loscuales definen el perfil de riesgo del ban-

co, así como las políticas y procesos enmateria de gobierno corporativo acordes aeste perfil de riesgo, para garantizar uncontrol eficaz sobre todas las actividadesdel banco. El supervisor lo evalúa periódi-camente y verificará que el Consejo aprue-ba y vigila la aplicación de la dirección es-tratégica y la estrategia sobre riesgos de laentidad, así como de las políticas relacio-nadas, establece y comunica la cultura ylos valores corporativos y establece políti-cas en materia de conflictos de intereses,además de un sólido entorno de control.

A su vez, como principio de “Gestión delRiesgo”, el Marco regulador señala que elsupervisor debe verificar que el bancocuenta con adecuadas estrategias de ges-tión del riesgo que han sido aprobadas porel Consejo y que éste establece un apro-piado nivel de apetito de riesgo al objetode definir el riesgo que el banco está dis-puesto a asumir o tolerar. El supervisor ve-rifica que:

· El Consejo garantiza que:

g) existe una sólida cultura de gestióndel riesgo en todo el banco;

h) se han desarrollado políticas y pro-cesos para la asunción de riesgos,acordes con la estrategia de gestióndel riesgo y el nivel establecido deapetito de riesgo;

i) se tiene constancia de las incerti-dumbres asociadas a la medición delriesgo;

j) se establecen límites adecuadosacordes con el apetito de riesgo;

k) el perfil de riesgo y la solidez del ca-pital del banco, son periódicamentecomunicados al personal pertinentey comprendidos por éste; y

l) la alta dirección adopta las medidasnecesarias para vigilar y controlarcualquier riesgo significativo de con-formidad con las estrategias aproba-das y el apetito de riesgo establecido.


54

· Las estrategias, políticas, procedimientosy límites en materia de gestión del ries-go:

d) se documentan adecuadamente;

e) se revisan periódicamente y actuali-zan adecuadamente para reflejarcambios en el apetito de riesgo, elperfil de riesgo y la situación macro-económica; y

f) se comunican dentro del banco.

Marco regulador para entidades asegu-radoras (Solvencia II)

La Directiva Europea10 que establece elmarco de Solvencia II, regula tres aspectosfundamentales relacionados con las enti-dades aseguradoras:

1) El acceso a las actividades por cuentapropia del seguro directo y del reasegu-ro y el ejercicio de las mismas en ámbitode la Comunidad Europea.

2) La supervisión de los grupos de segurosy reaseguros.

3) El saneamiento y la liquidación de lasempresas de seguros directos.

Dentro del Título I, en la Sección 2 relativaal Capitulo 4, la Directiva establece los re-querimientos generales que deben regir enel Sistema de Gobernanza exigible para es-te tipo de organizaciones. En concreto, sehace referencia a una serie de requisitosque ese Sistema debe cumplir a modo depautas de control interno, entre los quedestaca el apartado específico que hacereferencia a las actividades de gestión deriesgos de estas organizaciones.

El sistema de gestión de riesgos debe cu-brir, como mínimo, las siguientes áreas:

a) La suscripción y la constitución de reser-vas.

b) La gestión de activos y pasivos.

c) La inversión, en particular, en instrumen-tos derivados y compromisos similares.

d) La gestión del riesgo de liquidez y deconcentración.

e) La gestión del riesgo operacional.

f) El reaseguro y otras técnicas de reduc-ción del riesgo.

Según establece la Directiva en su Artículo45, estas entidades, además, deben efec-tuar una evaluación interna de los riesgosy de la solvencia, abarcando como mínimodeterminados aspectos clave; i) las necesi-dades globales de solvencia de la organi-zación, teniendo en cuenta su perfil deriesgo específico, sus límites de toleranciaal riesgo aprobados y la estrategia comer-cial de la empresa, ii) el cumplimiento con-tinuo de los requisitos de capital y de losrequisitos en materia de provisiones técni-cas establecidos en la propia Directiva y iii)la medida en que el perfil de riesgo de laempresa se aparta de las hipótesis en quese basa el capital de solvencia obligatorioprevisto también en la propia Directiva.

Mejores prácticas internacionalmenteaceptadas

Frente a las exigencias normativas o regu-latorias específicas, diferentes institucionesde reconocido prestigio internacional hanpublicado documentación en materia degestión de riesgos que, basada en las me-jores prácticas existentes, se han converti-do en verdaderas fuentes de referencia.Muchas de estas instituciones han publica-do informes, guías y position papers en losque han tratado diversas materias relacio-nadas con las actividades de gestión deriesgos. Entre estas materias tratadas, co-mo no podía ser de otra manera, resaltan

las cuestiones vinculadas con el apetito, latolerancia y el perfil de riesgo, auténticospilares de la gestión de riesgos que deter-minan, en gran medida, las actuaciones delas organizaciones a la hora de diseñar yejecutar la estrategia para alcanzar sus ob-jetivos. A continuación destacamos las másrepresentativas:

OCDE: Principios de Gobierno Corporati-vo.

La Organización para la Cooperación y elDesarrollo Económicos (OCDE) tiene pormisión promover políticas que mejoren eldesarrollo económico y el bienestar socialde las personas en todo el mundo.

Esta Organización ha adoptado un enfo-que orientado a facilitar ciertos instrumen-tos de ayuda a los Gobiernos de los esta-dos miembro para conseguir estos objeti-vos. Entre ellos destacan políticas relativasa la economía, la innovación, la educación,las finanzas, los impuestos o la ética em-presarial entre otros.

En el ámbito del Gobierno Corporativo, laOCDE publicó una serie de Principios11 quehan acabado convirtiéndose en referenciaobligada para determinados colectivos co-mo políticos, inversores y empresas de to-do el mundo. Si bien estos Principios noconstituyen normas vinculantes, se consi-deran una auténtica buena práctica parafortalecer la estructura del gobierno corpo-rativo de empresas y otras organizacionesy para contribuir a fortalecer la confianzay la integridad en el ámbito económico yde los negocios.

Entre las recomendaciones proporcionadaspor estos Principios, destacan cuestionesconcretas sobre la actuación de los Conse-jos de Administración de las empresas en

10.Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el seguro de vida, el acceso a la actividad de seguro y dereaseguro y su ejercicio (Solvencia II).

11. OECD, Principles of Corporate Governance, 2004 Edition.


55

la gestión de riesgos. De forma más con-creta, se señala la idoneidad de disponerde una Política de Riesgos que abarque laespecificación de los diferentes tipos y gra-dos de riesgo que una entidad se encuen-tra dispuesta a aceptar, en su intento poralcanzar sus objetivos (es decir, el apetitode riesgo). Constituyendo esta Política unadirectriz de carácter vital para los directivosencargados de gestionar los riesgos, con elfin último de determinar el perfil de riesgodeseado por la organización (Apartado Dde la parte VI relativa a las Responsabilida-des del Consejo).

Committee of Sponsoring Organizationof the Treadway Commission (COSO).

COSO se formó para mejorar la calidad delos reportes financieros mediante la éticaen los negocios, con objeto de tener con-troles internos y gobierno corporativo efec-tivos. Basado en estos principios, se des-arrolló y publicó el marco de trabajo delCOSO II como una fundación para estable-cer sistemas de control interno y determi-nar su efectividad. En 2012, COSO ha rea-lizado una actualización del marco COSO,publicando actualmente el borrador “Inter-nal Control - Integrated Framework”, queadapta COSO II a los cambios y avances enlas operaciones de tecnología y de nego-cios, y lo mejora.

COSO II distingue cuatro categorías de ob-jetivos, que deben ser cubiertos en toda laestructura organizativa de una entidad,mediante ocho componentes del marco re-conocido para la administración y gestiónintegral de los riesgos. En la actualizaciónde COSO en mayo de 2013, se han simpli-ficado en tres categorías (operaciones, in-formación y cumplimiento) y los ocho com-ponentes finalmente han sido agrupadosen cinco (entorno de control, evaluacióndel riesgo, actividades de control, informa-ción y comunicación, actividades de segui-miento).

Con relación al componente “Entorno deControl”, COSO II define que los factoresdel ambiente de control deben incluir la fi-losofía de gestión de riesgos de la entidady su riesgo aceptado, así como el resto decomponentes como la integridad, los valo-res éticos o la estructura organizativa.

A su vez, en el punto de “Establecimientode objetivos” sugiere la vinculación entrela misión de la entidad y los objetivos es-tratégicos, así como con el resto de objeti-vos relacionados, alineando estos dos tiposde objetivos con el nivel de riesgo acepta-do y la tolerancia al riesgo.

COSO II expresa que, en una entidad, elriesgo aceptado puede expresarse en tér-minos cualitativos o cuantitativos, y sugie-re una batería de consideraciones para sudefinición. Como primera opción, contem-pla la expresión del riesgo aceptado en tér-minos de un “mapa de riesgo”, sugiriendoque la dirección de la entidad debe poneren marcha acciones para reducir la proba-bilidad y/o impacto de cualquier riesgo re-sidual significativo incluido en la zonaamarilla, puesto que excede el riesgo acep-tado.

Como segunda opción expone, principal-mente para empresas de servicios financie-ros y sector energético, adoptar un enfo-que sofisticado de aproximación al riesgoaceptado mediante técnicas cuantitativas.A su vez, para organizaciones avanzadasindica que pueden expresar el riesgo acep-tado empleando medidas relativas al mer-cado o de capital riesgo.

En el componente de “Respuesta a losRies gos” muestra que es la Direcciónquien, ante las oportunidades que puedanexistir, debe indicar y determinar si el ries-go residual global concuerda con el riesgoaceptado por la entidad, asumiendo unaperspectiva del riesgo global para la enti-dad.

Respecto a los roles y responsabilidades,atribuyen expresamente al Consejero Dele-gado la responsabilidad última de titulari-dad de la gestión de los riesgos corporati-vos, proporcionando el liderazgo y orienta-ción necesario a la alta dirección, estable-ciendo políticas amplias que reflejen la fi-losofía de gestión de riesgos de la entidad,así como su riesgo aceptado. Respecto asu supervisión, sugiere que la responsabili-dad de supervisar la gestión de los riesgoscorresponda a un Comité de Riesgos cen-trado directamente en éste área, desarro-llando y perfeccionando el riesgo aceptadoy las tolerancias al riesgo de la empresa.

Respecto al framework de gestión de ries-gos COSO II, que establece y facilita unaguía para ayudar y desarrollar actividadespara la gestión de riesgos, en la actualiza-ción de COSO en mayo de 2013, se definela gestión de riesgos como un proceso quedebe ser establecido por la dirección yaplicado en la estrategia de toda la enti-dad. El cambio de enfoque está basado enla identificación de eventos potenciales deriesgo que puedan afectar, gestionando losriesgos en base al apetito de riesgo defini-do, y asegurando la consecución de los ob-jetivos de la entidad. De este modo, el fra-mework de gestión de riesgos de la últimaactualización de COSO amplía la visión delControl Interno definido en COSO II.

En este nuevo marco de gestión de riesgosde COSO, se introduce el concepto de ape-tito de riesgo, definiéndolo como el riesgoque se está dispuesto a aceptar en la bús-queda de la misión/visión de la entidad,formando un hito más en la fijación de laestrategia y los objetivos. Esto refleja unanueva filosofía de gestión de riesgos en laentidad, que a su vez influye en su culturay su estilo operativo. El apetito de riesgoayuda a alinear la organización, las perso-nas y los procesos, en el diseño de la in-fraestructura necesaria para responder efi-cazmente y monitorizar los riesgos.


56

A su vez, define la tolerancia al riesgo co-mo el nivel aceptable de variación en losresultados o actuaciones de la compañíarelativas a la consecución o logro de susobjetivos(operaciones, información y cum-plimiento), alineando éstos con el apetitode riesgo marcado. De esta manera, sugie-re que se obtiene un mayor grado de segu-ridad de que la entidad logrará sus objeti-vos, y especifica que el apetito de riesgo yla tolerancia al riesgo, junto a la fijación deobjetivos, son precondiciones necesariaspara el establecimiento de un sistema decontrol interno efectivo.

Respecto a los componentes del frame-work de COSO, indica que la identificaciónde eventos y la evaluación de riesgos paradar respuesta a éstos, deben considerarsesiempre en relación al apetito de riesgodefinido.

De forma adicional, COSO ha publicado en2012 el informe “Understanding and Com-municating Risk Appetite”, con el objetivode ayudar a las entidades a implantar lagestión de riesgos (ERM) persiguiendo ellogro de sus objetivos. Para ello, es necesa-rio decidir y establecer las metas, tácticas uobjetivos operacionales de la entidad, pu-diendo ser más agresivas o conservadoras,y plasmarlas en una mayor o menor tole-rancia al riesgo. Además de realizar unaperfecta planificación, para el éxito, es ne-cesario desarrollar y comunicar a toda laentidad una clara comprensión del apetitode riesgo definido, e integrarlo en el proce-so de planificación estratégica (no contem-plarlo únicamente como un tema teóricode discusión).

Para determinar el apetito de riesgo, lagestión, la supervisión y la concurrencia,deben seguirse tres pasos:

4. Desarrollar el apetito de riesgo: Paradesarrollar el apetito al riesgo, la orga-

nización debe integrar, y no evitar, elriesgo como parte de su estrategia, es-tableciendo objetivos y desarrollandoapetitos al riesgo diferentes, acordes ala misma. No existe una norma o es-tándar universal de apetito de riesgoaplicable a todas las organizaciones, niexiste un "correcto" apetito de riesgo,por lo que la Dirección debe establecer-lo, entendiendo y analizando las venta-jas y desventajas que implica tener unmayor o menor apetito de riesgo.

5. Comunicar el apetito de riesgo: Exis-ten diversos enfoques utilizados para lacomunicación del apetito de riesgo. Elprimer enfoque sugerido es la creaciónde un estado de apetito de riesgo decarácter general, que refleje los nivelesde riesgo aceptables en la consecuciónde objetivos (mediante su representa-ción en gráficos o mapas de riesgosque fijen las bandas de riesgo acepta-ble e inaceptable), debiendo ser lo sufi-cientemente amplio y descriptivo comopara que las unidades organizativaspuedan gestionar sus riesgos de formaconsistente dentro de la organización.El segundo enfoque es la comunicacióndel apetito al riesgo para cada uno delos objetivos principales de la organiza-ción, mientras que el tercero se centraen comunicar el apetito de riesgo paradiferentes categorías de riesgo.

6. Controlar y actualizar el apetito deriesgo: Una vez que el apetito de ries-go sea comunicado, los responsablesde la gestión, con el apoyo de la direc-ción, deben revisarlo y reforzarlo. Elapetito de riesgo no se puede estable-cer y luego olvidarlo, sino que debe serrevisado en relación a la forma en queopera en la organización, especialmen-te en las entidades donde el modelo denegocio está cambiando. Los responsa-

bles deben monitorear que las activida-des son realizadas en coherencia alapetito de riesgo definido, a través deuna combinación de monitorización yevaluaciones separadas. El departa-mento de Auditoría Interna, a su vez,puede apoyar en la gestión de este se-guimiento.

Cuando se lleve a cabo la supervisióndel apetito de riesgo, sugiere que debeincentivarse la creación de una culturaen la organización, que fomente laconcienciación de los integrantes de lamisma acerca de los riesgos, y su vincu-lación con los objetivos de la organiza-ción.

International Organization for Standardi-zation (ISO).

ISO es la mayor organización mundial en-cargada de promover el desarrollo de nor-mas internacionales de fabricación (pro-ductos y de servicios), comercio y comuni-cación para casi todas las ramas industria-les (excepto la rama eléctrica y la electróni-ca). Su principal función es facilitar la es-tandarización de normas en productos y enla seguridad para empresas u otras organi-zaciones a nivel internacional (ya sean pú-blicas o privadas). Las normas desarrolla-das por ISO son de cumplimiento volunta-rio, ya que se trata de un organismo nogubernamental y no depende de ningúnotro organismo internacional.

En noviembre de 2009 publicó un conjun-to de principios y pautas para servir deayuda a todo tipo de organizaciones a lahora de afrontar, de una manera sistemati-zada y eficaz, el proceso de instauraciónde un sistema para la gestión de riesgos12.

Si bien, hasta el momento, no se trata deuna normativa certificable, similar a otrasnormativas ISO, muchas organizaciones

12. ISO 31000: 2009, Risk Management - Principles and guidelines on implementation.


57

han adoptado esta perspectiva de gestiónde riesgos debido a que el estándar combi-na los mejores aspectos de varios marcosformales de gestión de riesgos corporati-vos. Esto les permite sacar provecho deello, al favorecer que el sistema de gestiónde riesgos implantado permita a la organi-zación, entre otras cosas, incrementar elnivel de confianza de los stakeholders,aprovechar las oportunidades y defendersede las amenazas del negocio, optimizar laasignación de los recursos y mejorar el go-bierno, el control interno y el rendimientode las organizaciones.

El estándar 31000 proporciona un marcopara que la función de gestión de riesgosdentro de una organización tenga éxito enla consecución de sus propósitos y objeti-vos. Además, establece un proceso especí-fico para la gestión de riesgos, dividido enlas siguientes fases:

· Establecer el contexto: Como puntode partida, se debe establecer el con-texto en el que se relaciona la organi-zación desde dos puntos de vista dife-renciados, el contexto externo y el con-texto interno. Todo ello con el objeto deentender objetivos y expectativas de losstakeholders internos y externos de laorganización.

· Valoración del riesgo: Contempla tresactuaciones diferentes para entender elriesgo, sus orígenes y sus consecuen-cias:

- Identificación de riesgos: se trata delocalizar aquellas situaciones que pue-den afectar a la organización.

- Análisis de riesgos: consiste en deter-minar los orígenes de los riesgos, lasáreas de impacto, los eventos y suscausas y las consecuencias potencialesde los mismos sobre la organización.

- Evaluación de riesgos: se trata de es-tablecer una estimación sobre el im-pacto y la probabilidad de ocurrenciade los riesgos identificados.

· Tratamiento del riesgo: Consiste enseleccionar la opción más adecuadapara tratar el riesgo, de acuerdo a lanaturaleza y características de éste.

· Monitorización y revisión: Debe abar-car todos los aspectos del proceso degestión de riesgos a los efectos de:

a) Analizar y aprender las leccionescon origen en los eventos, cambiosy tendencias,

b) Detectar los cambios en el contextointerno y externo y en los propiosriesgos, que requieran una revisiónde las prioridades y tratamiento delriesgo,

c) Asegurar que las medidas de trata-miento y control de riesgos son efi-caces desde el punto de vista ope-rativo y de diseño,

d) Identificar nuevos riesgos.

· Comunicación e información: Se tratade identificar, captar y comunicar la in-formación relevante en materia de ries-gos para darles respuesta y comunicarel rol y responsabilidades de todos losparticipantes en el proceso.

En cuanto al apetito de riesgo, el estándarISO lo menciona expresamente cuando ha-bla de la Política de Gestión de Riesgos,puesto que en este documento se debe es-pecificar claramente el apetito, como partede los objetivos y compromisos de la orga-nización con la gestión de sus riesgos.

Asimismo, se menciona la importancia delapetito en la fase del proceso relativa a laevaluación del riesgo, puesto que influiráen la decisión de la organización de tratarlas situaciones de riesgo de una manera u

otra, en función de cómo se haya determi-nado ese apetito.

De manera complementaria, el documentode vocabulario y términos de gestión deriesgos que también publicó ISO13, detallauna definición concreta de los conceptosde actitud, apetito y tolerancia de riesgode una organización.

British Standard 31100.

La BS 31100 es un código de conducta pa-ra la gestión de riesgos iniciado por un co-mité técnico, formado en 2006 por miem-bros de la industria, reguladores y acadé-micos, publicado por el Grupo BSI (BritishStandards Institution) en 2008. Proporcio-na una guía con recomendaciones para lagestión de riesgos (principios, modelos, fra-mework y procesos) para ayudar a las or-ganizaciones a alcanzar sus objetivos yayudar a mejorar el resultado a través deuna gestión efectiva del riesgo.

La BS 31100 está dirigida a organizacio-nes de todos los tamaños, adaptando sulenguaje especialmente para ser compren-sible tanto para las organizaciones peque-ñas como para las multinacionales. A suvez, busca reducir las duplicidades tantocomo sea posible con otras normas o mar-cos de referencia, mediante la vinculacióne integración del lenguaje y las metodolo-gías de las ya existentes.

En los principios de gestión del riesgo, su-giere utilizar o integrar la gestión de ries-gos en la toma de decisiones. Esta gestiónde riesgos, debe apoyarse en la definicióndel apetito de riesgo y la capacidad, dentrode los límites de las decisiones de inver-sión que deben ser realizadas. El apetitode riesgo debe traducirse en niveles de to-lerancia de riesgo de los diferentes depar-tamentos, programas, proyectos y opera-ciones. Estos niveles deben ir acompaña-

13. ISO Guide 73:2009, Risk Management - Vocabulary.


58

dos de reglas de escalado para los riesgoso grupos de riesgos que excedan los lími-tes de los niveles de tolerancia fijados porla alta dirección.

La BS 31100 define un framework, o mar-co de gestión de riesgos, formado por diezcomponentes interrelacionados que debenestar correctamente definidos, y formarparte de la cultura de gestión de riesgosen la entidad:

1. Gestión de riesgos.

2. Estrategia de la gestión de riesgos.

3. Apetito de riesgo.

4. Política de gestión de riesgos.

5. Categorización y medición de los ries-gos y su impacto.

6. Roles y responsabilidades.

7. Herramientas de gestión de riesgos.

8. Formación.

9. Reporte.

10.Revisión.

El primer componente es el “Risk Gover-nance”, definido como la estructura degestión del riesgo, los procesos y los meca-nismos a través de los cuales se debe lle-var a cabo la gestión de los riesgos, y ladefinición de las responsabilidades y auto-ridades. El propósito reside en informar ala Junta para la toma de decisiones y pro-porcionar una opinión independiente de sila actividad de gestión de riesgos es eficaz,suficiente y está alineada con la consecu-ción de los objetivos estratégicos/operacio-nales. De esta manera muestra que el Go-vernance debe considerar todos los com-ponentes del framework de gestión deriesgos, entre los cuales comprende el ape-tito de riesgo. Indica que se deben definirclaramente los parámetros del nivel deriesgo que son aceptables para la organi-zación, así como los umbrales que desen-cadenan la necesidad de escalarlo, la revi-sión y aprobación por parte de un organis-mo o persona responsable.

Una vez definida la estrategia de gestiónde riesgos en la entidad, como componen-te específico del framework, la BS 31100define el apetito de riesgo como la canti-dad de riesgo que la organización está dis-puesta a aceptar, tolerar o estar expuestaen cualquier momento del tiempo. Habladel apetito de riesgo refiriéndose a la acti-tud de la organización hacia la toma deriesgos y si está dispuesto y/o en condicio-nes de aceptar un alto o un bajo nivel deexposición a riesgos específicos o gruposde riesgos o categorías de riesgo. Esto per-mite a la organización incrementar sus re-sultados mediante la optimización de latoma de riesgos y la aceptación de los ries-gos calculados dentro de un nivel apropia-do de autoridad.

La definición de apetito de riesgo debe re-flejar los siguientes aspectos:

· Proporcionar orientación y límites sobreel riesgo que se puede aceptar dentrode la organización, marcando el riesgo yrecompensa asociados que se conside-ran equilibrados y la probabilidad derespuesta;

· Considerar el entorno de la organiza-ción operativa, comprendiendo el valor,la rentabilidad de la gestión, el rigor delos controles y los procedimientos deaseguramiento;

· Reconocer que la organización podríaestar dispuesta a aceptar una propor-ción de riesgo más alta de lo normal enun área, si el saldo global de riesgo esaceptable;

· Definir el control, los permisos y sancio-nes del entorno, incluyendo la delega-ción de autoridad en relación con laaprobación de la aceptación del riesgode la organización, destacando los nive-les graduales de control, y lo que en elproceso de escalamiento se consideraque se están sobrepasando los criteriosde aceptación del riesgo;

· Reflejarlo o incorporarlo en la políticade gestión del riesgo de la organizacióny notificarlo, como parte de un sistemade reporte interno de riesgos de la orga-nización.

Se indica que la definición de apetito alriesgo puede realizarse de dos formas:

a) Declaraciones cualitativas que descri-ben los riesgos específicos de la organi-zación que está o no dispuesto a acep-tar;

b) Declaraciones cuantitativas, donde sedescriben los límites, umbrales o indica-dores clave de riesgo, estableciendo có-mo han de ser juzgados los riesgos ysus beneficios y/o cómo evaluar y vigi-lar el impacto agregado de estos ries-gos.

El perfil de riesgo de la organización semanifiesta en el riesgo real al que ésta de-cide enfrentarse. Debe ser evaluado y con-siderado en la aplicación de los procesosde gestión de riesgos, debiendo ser objetode comparación con el apetito de riesgo yla gestión adecuada de las medidas adop-tadas. Esto puede incluir:

iv. Acciones de gestión específicas paraalinear el perfil de los riesgo al apetito;

v. Revisión de la propensión frente al ries-go, de acuerdo con el clima y evolucióndel negocio, y / o

vi. Investigación de los casos de riesgosasumidos que no se están optimizando.

Con relación a la asignación de roles y res-ponsabilidades, responsabiliza a la JuntaDirectiva, alta dirección (o equivalente), co-mo órgano responsable de establecer y/oaprobar el apetito de riesgo de la organi-zación y los apetitos al riesgo para las uni-dades auxiliares o funciones, debiendo sercomunicada a toda la organización.

El apetito de riesgo debe ser revisado porla alta dirección (o su equivalente) por lomenos una vez al año, junto con la estrate-


59

gia de la organización y los procesos deplanificación. De esta manera se consigueque el perfil de riesgo de la organización yel apetito de riesgo definido se encuentrenalineados, afrontando un apetito de riesgoacorde a las características y situacionesque afecten a la empresa en ese momento.

En el resto de componentes del frame-work, indica otras consideraciones del ape-tito de riesgo como su inclusión en el con-tenido mínimo de la Política de Gestión delRiesgo, o que debe tenerse en cuenta enlos criterios de medida y categorización deimpacto del riesgo, siendo siempre acordesa este.

Como punto diferencial, incluye un compo-nente del framework que es la formación,donde especifica que para apoyar la incor-poración de la gestión del riesgo en todala organización y el desarrollo de la madu-rez de riesgo de una organización, la direc-ción debe proporcionar los conocimientossuficientes del apetito de riesgo a toda laorganización, como los niveles de toleran-cia al riesgo y las normas de su progresivi-dad.

A su vez, como un reporte interno más aconsiderar, recomienda que para tener unsistema de reporte interno efectivo en laorganización, uno de los puntos a realizarseguimiento y reportar es la gestión delriesgo que se está llevando a cabo en fun-ción de los parámetros del apetito de ries-go definidos, para poder analizar los ries-gos y tomar las medidas correctivas nece-sarias al respecto, mediante el diseño decontroles específicos y análisis posterior dela efectividad de los mismos.

The Institute of Risk Management (IRM).

El IRM es una institución independientebasada en el Reino Unido que desarrolla

su actividad en el ámbito de la gestión deriesgos, proporcionando a los profesiona-les de esta materia las herramientas y lashabilidades necesarias para poder afrontarcon éxito los desafíos de un entorno denegocio cada vez más cambiante y sofisti-cado.

Esta institución ha publicado documentosrelacionados con la gestión de riesgos engeneral14, y con el apetito de riesgo, enparticular15.

En relación al apetito de riesgo, el docu-mento del IRM aborda, basándose en lasestipulaciones recogidas en el UK Corpora-te Governance Code, diferentes cuestionesrelacionadas con el desarrollo de un marcode apetito de riesgo dentro de una organi-zación. Partiendo de una definición muycompleta e intuitiva del apetito y la tole-rancia al riesgo, se establecen las nocionesbásicas del proceso para establecer estemarco, diferenciándose las siguientes fa-ses:

· Diseño del apetito de riesgo: mediantela interacción de elementos como la cul-tura de riesgo de la entidad, la capaci-dad de riesgo que ésta tiene, su madu-rez en el proceso de gestión de riesgos yel establecimiento de diferentes apetitosal riesgo, en función de las diferentesnaturalezas y situaciones que se esténafrontando.

· Construcción del apetito de riesgo:una vez la organización ha entendidosus capacidades para gestionar el ries-go, se afrontan las cuestiones relaciona-das con el establecimiento y seguimien-to del apetito de riesgo. En concreto, elmarco propuesto establece diferentesniveles de riesgo (estratégico, táctico yoperacional) en conjunción con la pro-pensión de la organización a asumir

riesgos y a ejercitar las medidas de con-trol.

· Implantación del apetito de riesgo: sedescriben las diferentes fases para im-plementar el apetito de riesgo en la or-ganización, en concreto a) el diseño ini-cial, b) el compromiso de los stakehol-ders, c) el propio desarrollo del marco,d) la aprobación por parte del Consejo,e) la propia implantación (estableci-miento de parámetros correctos, partici-pación de implicados, incorporación a laestructura la organización, etc.), f) infor-mar del proceso interna y externamentey, por último, g) una revisión para deter-minar qué ha ido bien, que ha salidomal y qué se deber hacer de forma dife-rente la próxima vez.

· Gobierno del apetito de riesgo: dondese establecen los cuatro elementos críti-cos de gobernabilidad necesarios paraque el apetito de riesgo sea útil para laorganización.

- Autorización: se establecen los ele-mentos para la supervisión del proce-so de establecimiento del apetito.

- Medición: necesidad de medir y eva-luar el apetito de riesgo para identifi-car el impacto sobre el rendimientodel negocio.

- Seguimiento: Identificar las desviacio-nes del proceso, de una forma regu-lar.

- Aprendizaje: identificar las posiblesáreas de mejora para perfeccionarlasen el futuro.

Código Unificado de Buen Gobierno Cor-porativo (Código Conthe).

El Gobierno de España, por acuerdo de 29de julio de 2005, creó un grupo especial

14. A Risk Management Standard, the Institute of Risk Management, 2002.

15. Risk Appetite & Tolerance, Guidance Paper; the Institute of Risk Management- Crowe Howarth, 2011.


60

de trabajo para asesorar a la Comisión Na-cional del Mercado de Valores (CNMV) enla armonización y actualización de las re-comendaciones de los Informes Olivencia yAldama sobre buen gobierno de las socie-dades cotizadas, así como para formularlas recomendaciones complementarias quejuzgara precisas. El resultado se conoce co-mo Código Unificado de Buen Gobierno, oCódigo Conthe, debido al apellido del Pre-sidente de la CNMV en ese momento, Ma-nuel Conthe.

Se trata de un código dirigido únicamentea sociedades cotizadas, basado en el prin-

cipio anglosajón de “cumplir o explicar”,lo que supone la voluntariedad en la apli-cación de las recomendaciones o, por elcontrario, explicar e indicar de forma claraaquellos motivos que justifican la no apli-cación de las mismas.

En relación directa con el apetito de riesgoel Código establece, en la recomendaciónnúmero 49 relativa al Comité de Auditoría,de una manera específica:

“Que la Política de control y gestión deriesgos identifique, al menos:

e) Los distintos tipos de riesgo (operativos,tecnológicos, financieros, legales, repu-

tacionales, etc.) a los que se enfrenta lasociedad, incluyendo entre los financie-ros o económicos, los pasivos contin-gentes y otros riesgos fuera de balance.

f) La fijación del nivel de riesgo que la So-ciedad considere aceptable.

g) Las medidas previstas para mitigar elimpacto de los riesgos identificados, encaso de que lleguen a materializarse.

h) Los sistemas de información y controlinterno que se utilizarán para controlar ygestionar los citados riesgos, incluidoslos pasivos contingentes o riesgos fuerade balance.”



Ésta es la primera producción de LA FÁBRICA DE PENSAMIENTO, el think

tank del Instituto de Auditores Internos de España, que nace con el

objetivo de generar conocimiento útil que ayude a los Consejos de

Administración y la Alta Dirección de las empresas de habla hispana en

su toma de decisiones en materia de gobierno y gestión de riesgos.

Este laboratorio de ideas trabajará con un enfoque práctico en la producción

de documentos de buenas prácticas sobre cuatro ejes: buen gobierno,

gestión de riesgos, auditoría interna y particularidades sectoriales.

Esta guía “Definición de Apetito de Riesgo” –fruto del grupo de trabajo

formado por expertos, socios del Instituto de Auditores Internos de

España– expone los conceptos principales, las distintas utilizaciones,

metodologías de aproximación y cálculo, y una propuesta esquemática

sobre cómo implantar el apetito de riesgo en una organización.

Se trata de un exhaustivo trabajo que, sin duda, ayudará a miembros de

los Consejos de Administración, Comités de Auditoría y Alta Dirección

de cualquier tipo de organización a enmarcar adecuadamente el concepto

de apetito de riesgo en su Sistema de Gestión de Riesgos.

Edita Patrocina

apetito de riesgo libro.original

Documents