Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
Junio 2013
Antonio Huertas
Presidente de MAPFRE
3
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Esta Guía sobre Definición e Implantación del Apetito de Riesgo es el fruto del
trabajo de expertos, socios del Instituto de Auditores Internos de España, que
empezaron a trabajar en septiembre de 2012.
La Guía parte de la premisa de que toda empresa lleva a cabo sus operaciones
con el fin de crear valor. Pero este fin no puede alcanzarse sin asumir ciertos ries-
gos: gestionar una empresa implica gestionar riesgos y, para poder hacerlo con
garantías, las empresas deben definir su sistema de gestión de riesgos.
Una pieza relevante de este sistema es la fijación del apetito de riesgo: la canti-
dad de riesgo que la empresa desea asumir en la consecución de sus objetivos.
La fijación de este umbral permite optimizar el binomio riesgo-rentabilidad y
mantener los riesgos en los niveles deseados.
Los autores señalan el apetito de riesgo como guía para la toma de decisiones,
la asignación de los recursos y, en definitiva, para alinear a toda la empresa en la
consecución de los objetivos fijados, permitiendo hacer un seguimiento y monito-
rización de los resultados obtenidos y sus riesgos asociados.
5
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Índice
RESUMEN EJECUTIVO 09
INTRODUCCIÓN 14
Definiciones .................................................................................................................. 15
METODOLOGÍAS
Enfoques en la definición del apetito de riesgo .................................................. 26
Evaluación cuantitativa vs cualitativa del apetito de riesgo ............................. 29
Metodología en base al sector ................................................................................ 29
MARCOS DE REFERENCIA 31
Exigencias de carácter obligatorio .......................................................................... 31
Mejores prácticas internacionalmente aceptadas .............................................. 32
IMPLANTACIÓN 38
ANEXOS 51
Anexo I · Definiciones ................................................................................................ 52
7
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Resumen Ejecutivo
Toda empresa lleva a cabo sus operaciones con un fin último, la creación de valor. Pero
este fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resulta-
dos deseados, gestionar una empresa implica gestionar riesgos, y para poder hacerlo con
garantías, las empresas deben definir su sistema de gestión de riesgos.
El proceso de la fijación
Una pieza relevante de ese sistema es la fijación del apetito de riesgo: cantidad de riesgo del apetito de riesgo
que la empresa desea asumir en la consecución de sus objetivos. La fijación de este um- debe ser específico
bral permite optimizar el binomio riesgo-rentabilidad y controlar y mantener los riesgos para cada empresa y
en los niveles deseados. Por tanto, para posibilitar la generación de valor, las organizacio- será responsabilidad de
nes deben hacer un balance entre los riesgos y las oportunidades y el apetito de riesgo su máximo órgano de
debe servir de guía para la toma de decisiones, la asignación de los recursos y, en definiti- gestión determinarlo.
va, para alinear a toda la empresa en la consecución de los objetivos fijados, permitiendo
hacer un seguimiento y monitorización de los resultados obtenidos y sus riesgos asocia-
dos.
Para diseñar el sistema de gestión de riesgos y definir de forma adecuada los niveles de
apetito de riesgo, la empresa deberá focalizar sus esfuerzos en el desarrollo y uso de me-
todologías y técnicas que le ayuden a medirlos, y que le permitan compararlos con los ni-
veles de apetito establecidos. El proceso de la fijación del apetito de riesgo debe ser espe-
cífico para cada empresa puesto que no existe un valor de apetito de riesgo estándar apli-
cable a todas las compañías, y será responsabilidad de su máximo órgano de gestión de-
terminarlo. Además, debe tener en cuenta la naturaleza de los riesgos que se desean me-
dir y entenderse como algo vivo, que se revisa y cambia con la evolución de la propia em-
presa, sus objetivos y estrategia, así como el entorno en el que opera.
9
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Alta
Exposición
Baja
Apetito de riesgo
Tolerancia al riesgo
Capacidad de riesgo
El apetito es el nivel de Cada organización puede optar por diferentes metodologías de cálculo, condicionadas
riesgo que la empresa por su sector de actividad e implantar modelos tanto cuantitativos como cualitativos. El
quiere aceptar y su uso de unos u otros normalmente depende del grado de estandarización que exista en el
tolerancia será la sector para la medición del apetito (condicionado en la mayoría de los casos, por la exis-
desviación respecto a tencia de regulación explícita al respecto, como es el caso del sector financiero). En secto-
este nivel. La capacidad res en los que no hay obligatoriedad ni modelos definidos, será cada empresa la que de-
será el nivel máximo de
termine el método que desee seguir, en función principalmente de la naturaleza de los
riesgo que una
riesgos por medir. En aquellos casos en que se evalúan los riesgos en términos de impac-
organización puede
to económico y probabilidad, será conveniente establecer el apetito de forma cuantitativa.
soportar en la
Lo cierto es que cada vez resulta más relevante considerar aquellos elementos del apetito
persecución de sus
de riesgo que no se pueden medir y que, por tanto, podrían ser más difíciles de gestionar,
objetivos.
como pueden ser los riesgos reputacionales. Por ello, para garantizar una gestión de ries-
gos integral y equilibrada, es recomendable combinar medidas cuantitativas con medidas
cualitativas, así como tener en cuenta aquellos riesgos para los que la organización puede
tener tolerancia cero.
Las mediciones cuantitativas utilizadas en sectores como el financiero suelen ser métricas
de adecuación del capital, como el capital en riesgo (capital at risk), métricas relaciona-
das con ingresos como los ingresos en riesgo (earnings at risk) y métricas de liquidez es-
10
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pecialmente relevantes en Basilea tras los problemas de liquidez vividos en el sector fi-
nanciero en los últimos años.
Cabe destacar la existencia de dos posibles enfoques para la implantación del apetito de El enfoque descendente
riesgo en las organizaciones. es más recomendable
para llevar a cabo la
- El descendente o top-down, basado en establecer el apetito de riesgo desde el más al-
implantación del
to nivel organizativo, alineado con los objetivos estratégicos. Una vez validado formal-
modelo, pero para ser
mente por los órganos responsables, como el Consejo y/o la Comisión de Auditoría, se
completo debe
comunica al resto de la organización para alinear la gestión de riesgos de todas las complementarse con un
áreas con el apetito de riesgo aprobado para toda la compañía, estableciendo niveles reporte basado en un
específicos de apetito para las distintas unidades que la componen. enfoque ascendente.
- El enfoque ascendente o bottom-up, por el contrario, define el apetito de riesgo al mí-
nimo nivel de decisión dentro de una organización, para posteriormente ascender a lo
largo de la estructura organizativa hasta consolidarse en un apetito de riesgo global.
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la
· Convergencia con la capacidad máxima de organización
riesgo · Alto nivel de capilaridad
· Estimulación del debate del equipo · Sencillez en la definición, sobre todo para
ejecutivo riesgos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los
grupos de interés
INCONVENIENTES
· Menor involucración de niveles operativos · Demasiadas interacciones para converger
en la definición con capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de
cuantificación los grupos de interés
11
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En COSO se especifica Por último, conviene recordar que existen distintos marcos de referencia en relación a los
que el apetito de riesgo sistemas de gestión de riesgos y la fijación del apetito (cuyo nivel de exigencia varía de-
y la tolerancia al riesgo, pendiendo de su naturaleza) y que pueden ser de ayuda en el proceso de implantación.
junto a la fijación de Así, existen exigencias de carácter obligatorio y otras, en cambio, recogen mejores prácti-
objetivos, son cas internacionalmente aceptadas.
precondiciones
necesarias para el Carácter obligatorio
establecimiento de un
efectivo sistema de - Marco regulador para entidades bancarias (Basilea)
Mejores prácticas
Considerado todo lo anterior, los pasos previos que deben tenerse en cuenta a la hora de
implantar el apetito de riesgo como parte integrante del sistema de gestión de riesgos de
una organización son los siguientes:
6. Comunicación, actividades
de control y supervisión
4. Asignación niveles de riesgo
2. Establecimiento de Principios
5. Metodología de cálculo
3. Descripción organizativa
12
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
El apetito de riesgo
Apetito de Riesgo · VENTAJAS
transforma métricas y
métodos de evaluación
de riesgos en decisiones
· Mejorar la planificación estratégica.
· Aumentar la efectividad del proceso de toma de decisiones. de negocio y reporte y
Estrategia
· Desarrollar esquemas de seguimiento y medición del desempeño ayuda a optimizar la
más eficientes, completos y justos consecución de
resultados y la creación
de valor en las
organizaciones.
Operaciones · Mejorar el análisis coste-beneficio de las decisiones.
· Asignar recursos de forma más eficiente.
13
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Introducción
Para garantizar una La gestión de un negocio consiste en tomar una organización, es importante que se diseñe
eficiente implantación decisiones y asumir riesgos. Las empresas tie- como un proceso integrado, como un elemen-
de un sistema de nen como fin último la creación de valor, para to esencial dentro de su estrategia. Así, resulta
gestión de riesgos en lo que, y en base a un análisis de riesgos, es- fundamental que la compañía conozca cuánto
una organización, es tablecen sus objetivos y su enfoque estratégi- riesgo está dispuesta a asumir en la persecu-
importante que se co a corto, medio y largo plazo. En esa bús- ción de sus objetivos y cómo quiere equilibrar
diseñe como un queda de creación de valor, los órganos res- riesgos y oportunidades. Por todo esto, la defi-
proceso integrado, ponsables de la entidad deben plantearse nición del apetito de riesgo es un elemento
como un elemento cuánto riesgo desean asumir, de forma que se clave de un sistema integral de gestión de
esencial dentro de su optimice el binomio riesgo-rentabilidad. La riesgos (ERM, Enterprise Risk Management).
estrategia. gestión de riesgos debe formar parte de la
Por ello, cuando los órganos responsables de
cultura de una empresa, estar embebida en el
una organización (en adelante, se entenderá
día a día de su operativa y ser asumida, difun-
por órganos responsables el Consejo de Admi-
dida y compartida por toda la organización.
nistración u órganos equivalentes) se plantean
La estrategia organizativa de una empresa, posibles estrategias, deben determinar, en pri-
debe basarse en un proceso continuo de iden- mer lugar, si se alinean con el nivel de apetito
tificación y evaluación de riesgos de acuerdo a de riesgo que desean. De este modo, el apeti-
la política que cada compañía haya definido to de riesgo sirve de guía para la toma de de-
en este sentido. Este proceso exige que la cisiones, la asignación de recursos y el alinea-
compañía analice la adecuación de los riesgos miento de la organización, sus trabajadores y
que se toman con el nivel de riesgo deseado, y los procesos, creando la infraestructura nece-
que establezca planes de acción y medidas de saria para responder eficazmente a los desa-
seguimiento, control y reporte adecuados. fíos, seguimiento y monitorización de los ries-
gos. Por ello, no basta con establecer si un
La gestión de riesgos requiere una definición y riesgo es alto, medio o bajo. Una organización
asignación de roles y responsabilidades en to- debe ir más allá y determinar si es aceptable,
dos los niveles de la organización. Cada per- considerando los beneficios potenciales que
sona debe conocer su papel en la gestión de puede reportar.
riesgos de la compañía para que ayude a la
consecución de los objetivos estratégicos y Cuando es debidamente definido y comunica-
do, el apetito de riesgo sirve como guía para
operativos fijados por la alta dirección.
que la dirección fije los objetivos y tome las
Además, para garantizar una eficiente implan- decisiones adecuadas para apoyar las opera-
tación de un sistema de gestión de riesgos en ciones de la empresa y que la organización in-
14
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
cremente la probabilidad de alcanzar sus ob- nearlos con la estrategia de la compañía y és-
jetivos. tos deben variar con el transcurso del tiempo
y la dinámica del negocio, al igual que lo ha-
En definitiva, la gestión de riesgos es un con-
cen los objetivos y estrategia de la compañía.
cepto que debe estar integrado en la fijación
de la estrategia, la planificación o las decisio- Por último, la determinación y uso del apetito
nes que se toman en el día a día de la organi- de riesgo de una organización debe entender-
zación. Debe ser parte de la cultura y una pieza se como un elemento de buen gobierno hacia
clave en la toma de decisiones para la conse- los grupos de interés y que, por tanto, los ges-
cución de los objetivos, ya sean de cada área o tores deben asumir como necesario.
del conjunto. Por ello las organizaciones han
de considerar su apetito de riesgo en el mo-
mento en que deciden sobre sus objetivos.
DEFINICIONES
La determinación de ese apetito de riesgo Las definiciones del apetito de riesgo varían
comprende tres etapas: dependiendo del contexto en el cual se de-
1. Definición sarrolle, considerando aspectos como el sec-
2. Implantación y comunicación tor de actividad, las diferentes perspectivas de
3. Monitorización y actualización periódica. los grupos de interés o los tipos de riesgo que
existan.
La mayoría de las organizaciones tienden a
definirlo en términos cuantitativos, si bien, ca- Por otro lado, existen términos como la tole- La definición del apetito
da vez es más importante incluir elementos rancia al riesgo o la capacidad de riesgo, muy de riesgo es un
cualitativos,en línea con las últimas tenden- relacionados con el apetito y que en ocasio- elemento clave de un
cias en reporte integrado. Promovidas por el nes pueden llevar a confusión. sistema integral de
International Integrated Reporting Council gestión de riesgos
(IIRC), estas tendencias abogan por un repor- Adicionalmente, existen distintos marcos de
(ERM, Enterprise Risk
te corporativo que incluya información sobre referencia que definen los conceptos clave co-
Management).
estrategia, gobierno, comportamiento, pers- mo el apetito, la tolerancia y la capacidad,
pectivas de la organización y la conexión con desde enfoques que pueden no ser exacta-
su contexto económico, social y ambiental. mente equivalentes1. A continuación se resu-
Por tanto, la discusión sobre el apetito de men los principales conceptos y definiciones
riesgo, además de variables financieras, con- que se pueden encontrar en los marcos meto-
templará conceptos como: reputación y mar- dológicos más usados en materia de gestión
ca, sostenibilidad y medioambiente, gobierno de riesgos:
corporativo, cumplimiento, recursos humanos,
etc. COSO
Debe tenerse en cuenta que no es un concep- De acuerdo a lo establecido por el nuevo mo-
to individual fijo que pueda estandarizarse. delo para la práctica de control interno, ac-
Cada compañía debe establecer su apetito de tualizado en mayo de 2013, se define el con-
riesgo para los diferentes tipos de riesgo y ali- cepto de apetito de riesgo como el riesgo
1. Para más detalle sobre los marcos de referencia existentes consultar el apartado “Marcos de referencia” del presente
documento (Página 31).
15
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
que se está dispuesto a aceptar en la bús- riesgo, como la cantidad de riesgo, desde un
queda de la misión/visión de la entidad. Es punto de vista amplio, que una organización
así, un hito más en la fijación de la estrategia está dispuesta o desea aceptar en la persecu-
y los objetivos. ción de valor.
Tolerancia al riesgo
Se define como el nivel aceptable de varia- British Standard 31100
ción en los resultados o actuaciones de la El British Standard 31100 sobre “Gestión de
compañía relativas a la consecución o logro
Riesgo” se refiere al apetito como la canti-
de sus objetivos.
dad y tipo de riesgo que una organización
Dicho de otro modo, la tolerancia es la canti- esta preparada para afrontar, aceptar o to-
dad máxima de un riesgo que una organiza- lerar. Esta definición resulta más ambigua al
ción está dispuesta a aceptar para lograr su no diferenciar claramente entre apetito y tole-
objetivo. Se refiere a lo que una empresa se rancia al riesgo.
puede permitir gestionar. Riesgos que, en ca-
so de aparecer, la compañía tiene que ser ca-
paz de soportar. ISO
· ISO 31000, “Gestión del riesgo. Principios
Capacidad de riesgo
y directrices”
COSO define el apetito Hace referencia en cambio a la cantidad y ti-
La norma ISO 31000, en cambio no habla
de riesgo como el po de riesgo máximo que una organización
explícitamente del apetito de riesgo, sino
riesgo que se está es capaz de soportar en la persecución de
sus objetivos. que lo trata indirectamente en relación con
dispuesto a aceptar en
los conceptos de creación de valor y “acti-
la búsqueda de la
Usando el ejemplo de un banco, se podría de- tud ante al riesgo” que define como el en-
misión/visión de la
cir que su apetito es el nivel de riesgo que la foque de la organización para evaluar y
entidad.
entidad está dispuesta a aceptar para acceder eventualmente buscar, retener, tomar o ale-
a cierto nivel de rentabilidad. En cambio, su jarse del riesgo.
capacidad se refiere a cuánto riesgo puede
asumir sin quebrar. También usa el concepto “criterios del
ries go” como el término de referencia
“Marco Integrado de Gestión de Riesgos”
frente al cual se evalúa la importancia de
de COSO
un riesgo.
El “Marco Integrado de Gestión de Riesgos”
de COSO define únicamente el apetito de · Guía 73 de ISO “Guía de Gestión de ries-
go - Vocabulario”
Alta
Exposición Por otro lado, la Guía 73 de ISO” (surgida a
Baja raíz de la ISO 31000 y consistente en un
glosario de términos relativos a la gestión
de riesgos) define el apetito como la canti-
Apetito de riesgo dad y tipo de riesgo que una organiza-
Tolerancia al riesgo
Capacidad de riesgo ción desea retener o perseguir.
16
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En definitiva, el concepto de apetito de riesgo no está asumiendo más riesgo del que debe-
hace referencia a perseguir el riesgo, o dicho ría, considerando los objetivos que persigue.
de otro modo, a la cantidad agregada de ries-
Cada empresa persigue varios objetivos al
go que la empresa activamente quiere o está
dispuesta a asumir, para la obtención de va- mismo tiempo para agregar valor a sus gru-
lor. Dada su relevancia y las implicaciones a pos de interés. En términos generales, debería
nivel estratégico que conlleva, debe ser un entender el apetito de riesgo como el riesgo
concepto definido por el máximo órgano res- que desea tener, siempre que esté bajo con-
ponsable de la organización. trol, para lograr sus objetivos.
Como se habrá podido apreciar, los términos Por ello, las organizaciones deben verificar Dada la relevancia y las
apetito y tolerancia con frecuencia se usan de que el riesgo asumido en cada momento está implicaciones a nivel
forma indistinta, y aunque efectivamente son dentro de los límites que marca su apetito, estratégico que
términos relacionados, se refieren a conceptos evitándose que se acerque al nivel de toleran- conlleva el apetito de
diferentes aunque complementarios. Una em- cia establecido. En caso de hacerlo, deberán riesgo, debe ser un
tomarse medidas para reducirse la exposición concepto definido por
presa quiere estar segura de que asume el su-
el máximo órgano
ficiente riesgo para poder conseguir sus obje- a ese riesgo lo antes posible, evitando llegar
responsable de la
tivos, pero, al mismo tiempo, desea saber que al límite marcado por su capacidad.
organización.
Exposición
Capacidad de riesgo
El riesgo excede los límites
de riesgo tolerables
Tolerancia al riesgo
El riesgo excede los
límites deseables
Apetito de riesgo
Usando un ejemplo sencillo como la velocidad a la que circula un coche, podría decirse que el coche ad-
mite una velocidad máxima de 200 Km/h, o que su capacidad es de 200 Km/h. Pero su conductor, te-
niendo en cuenta su habilidad para conducir, el tipo de vía, la climatología y las prestaciones del vehículo
toleraría ir a un máximo de 160 km/h. Aun así, considerando que su objetivo es llegar a su destino lo
antes posible pero de forma segura, decide conducir a 110Km/h, ya que es la velocidad que le permite
hacer el recorrido respetando los límites establecidos, en un tiempo adecuado y sintiéndose confortable
en la conducción. Este sería, por tanto, su nivel de apetito.
17
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
A continuación se muestra un resumen de los tres conceptos definidos, usando el caso de una
Empresa A, que debe decidir sobre una puja en un concurso para la adjudicación de una licencia
de explotación X:
Nivel máximo de riesgo que la sabe que los recursos máximos con los que cuenta son 30 millones de €. Si puja
empresa puede soportar. asumirá el máximo riesgo que sus actuales recursos le permiten, quedándose al
límite de sus recursos, por lo que decide no seguir pujando.
Como se puede apreciar, la terminología puede variar ligeramente dependiendo del marco utiliza-
do pero la esencia de los conceptos clave en todos ellos es similar.
18
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
19
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
20
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
21
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
cesario adaptar la información de gestión pa- asegurar que los riesgos se hagan explíci-
ra permitir el seguimiento de los riesgos y su tos.
consideración respecto al apetito a lo largo de
- Considerar todos los grupos de interés y
la organización, enriqueciendo los reportes
sus preferencias. El apetito de riesgo debe
existentes con esta variable de gestión y ar-
combinar las preferencias de todos los gru-
monizando las estructuras de roles, responsa-
pos de interés de la organización (emplea-
bilidades y límites de decisión existentes.
dos, accionistas, deudores, reguladores
Frente a un enfoque Una cuestión fundamental es la identificación etc.). La actitud respecto al riesgo y el perfil
basado en el uso de y explotación de los datos de los principales de riesgos es muy diferente en cada grupo,
información detectiva y indicadores para tomar acciones preventivas, por lo que un apetito de riesgo común de-
pasiva, la información que posibiliten no exceder el apetito o no su- be aunar las restricciones y preferencias de
de medidas e todos los grupos.
perar los límites establecidos. Frente a un en-
indicadores anticipados
foque basado en el uso de información detec- - Crear una comunicación basada en pau-
permite aportar más
valor y ayuda a adoptar tiva y pasiva, la información de medidas e in- tas comunes para todos los grupos. El
las acciones dicadores anticipados permite aportar más apetito de riesgo mejora el diálogo entre la
preventivas necesarias. valor y ayuda a adoptar las acciones preventi- alta dirección y las áreas de negocio y ayu-
vas necesarias. da a fijar un lenguaje común y magnitudes
compartidas por todos los grupos de inte-
Además, la información de riesgos debe inter-
rés, lo que favorece un mejor entendimien-
pretarse de forma dinámica, por ejemplo, un
to y comunicación. Es una pauta de comu-
incremento en la exposición de un determina-
nicación común a todos los grupos de inte-
do riesgo, implicará una disminución en el
rés.
apetito de riesgo de otros. El grado de flexibi-
lidad concedido a los gestores de riesgos de- - Desarrollar un sistema de reporte integra-
penderá claramente de la calidad y madurez do (Integrated reporting). Para ello, un pa-
del sistema de gobierno y control de riesgos so esencial es determinar los riesgos mate-
de la entidad. riales (tanto negativos como positivos) que
impactan en una organización a la hora de
EL APETITO DE RIESGO PERMITE:
crear o destruir valor. Esa materialidad pue-
- Hacer explícita la actitud de la alta direc- de estar fijada por el apetito de riesgo, por
ción frente al riesgo. Resulta, por tanto, lo que sustenta una aproximación integral
una manera adecuada de discernir clara- a los riesgos.
mente los riesgos y decisiones asumibles de
las que no lo son. Una discusión abierta so-
4. Cumplimiento
bre cuál es el apetito de riesgo es una for-
ma apropiada de involucrar a los diferentes Los reguladores e instituciones exigen que las
responsables de la organización en temas organizaciones desempeñen su actividad den-
estratégicos y de gestión de riesgos. El ape- tro de la legalidad y con una adecuada trans-
tito de riesgo fuerza el debate y ayuda a parencia de sus actividades. Cada día se exige
22
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
23
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
24
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
25
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Metodologías
Como se habrá podido apreciar, bien definido, necesario impartir formación adicional o reali-
el apetito de riesgo transforma métricas y mé- zar cambios en el personal pero, en la mayo-
todos de evaluación de riesgos en decisiones ría de las organizaciones, lo que mayor im-
de negocio y reporte. Además, establece los lí- pacto suele tener es la implicación de la Alta
mites que forman un vínculo dinámico entre Dirección.
estrategia, fijación de objetivos y gestión de
En este sentido, las discusiones sobre el apeti-
riesgos.
to de riesgo permiten al responsable de ges-
tión de riesgos (CRO, Chief Risk Officer o si-
milar) involucrar a los jefes de las unidades de
El apetito de riesgo ENFOQUES EN LA DEFINICIÓN negocio en la definición de los vínculos entre
permite al responsable DEL APETITO DE RIESGO el riesgo y la estrategia. El proceso también se
de gestión de riesgos
Las distintas partes de la organización y gru- puede utilizar para involucrar al Consejo (o
(CRO, Chief Risk Officer
pos de interés tienen puntos de vista diferen- máximo órgano de responsabilidad existente)
o similar) involucrar a
tes, tal como se ha comentado anteriormente, y a directores no ejecutivos. El resultado es un
los jefes de las
por lo que la definición del apetito de riesgo marco robusto que puede utilizarse para arti-
unidades de negocio en
debe tratar de aunar todas las necesidades cular el apetito de riesgo a lo largo de una or-
la definición de los
existentes. De este modo, la determinación ganización que tenga en cuenta las necesida-
vínculos entre el riesgo
del apetito de riesgo, organizativamente, pue- des y perspectivas de los grupos de interés.
y la estrategia.
de definirse con dos enfoques alternativos: de
En este tipo de enfoque descendente se esta-
manera ascendente o de manera descenden-
blece un apetito de riesgo al más alto nivel
te.
organizativo, de aplicación para todo el grupo
o compañía, generalmente en términos cuan-
1. Enfoque descendente (top-down) titativos. Posteriormente, se va desglosando
En la mayor parte de las organizaciones, el dicho apetito a nivel región, división o línea
apetito de riesgo se establece al más alto ni- de actividad y, consecuentemente, a nivel
vel organizativo, alineado con los objetivos país, empresa (en caso de grupos empresaria-
estratégicos. Parte de la Dirección y debe ser les), área, producto, etc.
validado formalmente por los órganos res-
A medida que el apetito de riesgo se comuni-
ponsables (Consejo y/o Comisión de Audito-
ca a través de toda la organización (subsidia-
ría).
rias, divisiones, unidades de negocio, regio-
Para cambiar el comportamiento de una orga- nes, países, áreas, etc.), es importante que se
nización en relación con el riesgo, puede ser exprese en términos más específicos.
26
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La siguiente figura ilustra un enfoque global, Otro beneficio del enfoque descendente es
que consiste en la evaluación del apetito de que asegura que la dirección está en conso-
riesgo desde diferentes perspectivas de gru- nancia con el apetito de riesgo. Puede requerir
pos de interés y distintos tipos de riesgo. El una inversión inicial más alta, pero será com-
diseño descendente del apetito de riesgo con- pensada más adelante facilitando el posterior
duce típicamente a una evaluación del perfil desarrollo.
de riesgo deseado y un plan de acción para
lograrlo. Para afrontar este problema multidi-
mensional, puede resultar útil comenzar con Exposición máxima que una
organización puede asumir
la definición de la capacidad de riesgo, enten- dado su capital, liquidez,
Capacidad rentabilidad, etc.
dida como la máxima cantidad de riesgo que
la organización puede asumir. Este es un con- Exposición a los riesgos para
lograr los objetivos marcados
Apetito de riesgo para la actividad.
cepto importante porque, como se ha indica-
do, el apetito de riesgo se debe establecer en
un nivel que esté dentro del límite que marca Perfil de riesgo deseado
la capacidad de la empresa. Habitualmente, El perfil de riesgo
es la asignación del apetito
los grupos de interés tendrán opiniones dife- a diferentes categorías de riesgo.
27
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ción hasta llegar a un apetito consolidado por nación de los requerimientos de capital para
compañía o grupo empresarial. riesgos “difíciles de cuantificar”, tales como el
riesgo estratégico, significan que el enfoque
En determinadas organizaciones, se sigue un
ascendente puede no reflejar la verdadera po-
enfoque ascendente, partiendo de informa-
sición de riesgo de la organización. De hecho,
ción de riesgos histórica de la compañía y
en el sector financiero muchas compañías tie-
desarrollando modelos estadísticos que inclu-
nen grandes dificultades para cuantificar el
yan, además, factores asociados a la industria
capital asociado con el riesgo operacional.
o al entorno macroeconómico, para crear un
perfil de riesgos teórico. Este perfil de riesgo En conclusión, un enfoque descendente, por
sirve en última instancia a los órganos y res- lo general, funciona mejor que un enfoque as-
ponsables para discutir sobre el nivel de ries- cendente como planteamiento de base para
go que la compañía está preparada para implantar el sistema. Esto se debe a que real-
aceptar, y definir así un apetito de riesgo glo- mente es la forma más efectiva de considerar
bal. las opiniones de los grupos de interés y de
Los enfoques ascendentes tienen el inconve- crear una actitud proactiva en el estableci-
Es importante
niente de que tienden a apoyar el statu quo y miento de lo que la Dirección considera que
considerar aquellos
el perfil de riesgo existente, sin incorporar la debe ser su apetito de riesgo. Pero una vez se
elementos del apetito
visión de futuro. A menudo, el resultado es haya descendido a lo largo de toda la organi-
de riesgo que no se
una descripción pasiva del apetito de riesgo zación, el enfoque debe completarse con un
pueden medir y que,
actual en lugar de una actitud proactiva sobre reporte ascendente, que permita consolidar al
por tanto, podrían ser
la dirección hacia la que los órganos respon- máximo nivel la información de todas las
más difíciles de
sables quieren encaminar a la organización. áreas, obteniendo una visión global y de con-
gestionar, como los
junto de la situación de la compañía. En defi-
riesgos reputacionales. Confiar enteramente en modelos ascendentes nitiva, pueden considerarse enfoques comple-
de determinación del apetito de riesgo puede mentarios, no necesariamente excluyentes.
no ser recomendable porque la Dirección ne-
cesita una visión descendente. Por ejemplo, A continuación, se presenta un resumen las
los problemas encontrados en la medición de principales ventajas e inconvenientes de cada
beneficios de diversificación o en la determi- enfoque.
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la organización
· Convergencia con la capacidad máxima de · Alto nivel de capilaridad
riesgo · Sencillez en la definición, sobre todo para ries-
· Estimulación del debate del equipo ejecutivo gos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los Grupos
de interés
INCONVENIENTES
· Menor involucración de niveles operativos en la · Demasiadas interacciones para converger con
definición capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de los
cuantificación Grupos de interés
28
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
29
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
30
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Marcos de Referencia
Existen diferentes marcos7 y estándares que “La alta dirección debe asumir un papel de li-
contemplan directrices y/o recomendaciones derazgo en la integración de las pruebas de
sobre el apetito de riesgo y su uso en las or- tensión en el marco de la gestión de riesgos
ganizaciones. Estos marcos resultan útiles co- del banco y de su cultura de riesgos, y garan-
mo referencia para comenzar a utilizar el ape- tizar que los resultados son significativos y se
tito de riesgo o para evaluar el grado de de- aplican diligentemente a la gestión del riesgo
sarrollo logrado. A continuación, señalamos de crédito de contraparte. Como mínimo, los
los más representativos, diferenciando entre resultados de las pruebas de tensión para ex-
los exigidos en sectores regulados y los que posiciones significativas deben compararse
constituyen las mejores prácticas internacio- con las directrices que explicitan el apetito de
nales. riesgo del banco por el riesgo, así como anali-
zarse y servir de base para adoptar medidas
ante riesgos excesivos o concentrados.”
EXIGENCIAS DE CARÁCTER Aunque los acuerdos del Comité de Supervi-
OBLIGATORIO sión Bancaria de Basilea son recomendacio-
Marco regulador para entidades ban- nes sobre regulación y supervisión bancaria
no vinculantes, han sido adoptados por nu-
carias (Basilea)
merosos países e integrados en su regulación
En 1974 se creó el Comité de Supervisión
local.
Bancaria de Basilea y en 1988 se publicó el
primer acuerdo “Basilea I”, donde se propo- El marco regulador señala que el supervisor
nían las normas mínimas que deberían cum- debe supervisar varios aspectos:
plir las entidades financieras para mantener el · El Consejo garantiza que:
control prudente de sus operaciones.
a) existe una sólida cultura de gestión del
En la revisión de Basilea III de junio de 2011, riesgo en todo el banco;
se responsabiliza explícitamente a la Alta Di- b) se han desarrollado políticas y procesos
rección de las entidades, de la definición de la para la asunción de riesgos, acordes con
cantidad de riesgo que están dispuestos a la estrategia de gestión del riesgo y el
aceptar en su visión, citando textualmente: nivel establecido de apetito de riesgo;
7. Para un mayor detalle sobre marcos metodológicos consultar el ANEXO II incluido en el documento completo alojado
en www.auditoresinternos.es
31
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
c) se tiene constancia de las incertidum- vencia, abarcando, como mínimo, los siguien-
bres asociadas a la medición del riesgo; tes aspectos clave:
d) se establecen límites adecuados acordes - Las necesidades globales de solvencia de la
con el apetito de riesgo; organización, teniendo en cuenta su perfil
de riesgo específico, sus límites de toleran-
e) el perfil de riesgo y la solidez del capital
cia al riesgo aprobados y la estrategia co-
del banco, son periódicamente comuni-
mercial de la empresa.
cados al personal pertinente y compren-
- El cumplimiento continuo de los requisitos
didos por éste; y
de capital y de provisiones técnicas estable-
f) la alta dirección adopta las medidas ne- cidos en la propia Directiva.
cesarias para vigilar y controlar cual-
- La medida en que el perfil de riesgo de la
quier riesgo significativo de conformidad
empresa se aparta de las hipótesis en que
con las estrategias aprobadas y el apeti- se basa el capital de solvencia previsto en
to de riesgo establecido. la propia Directiva.
32
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
perfil de riesgo deseado por la organización sión de la entidad y los objetivos estratégicos,
así como un soporte importante para la ges- así como con el resto de objetivos relaciona-
tión de los riesgos. dos, alineando estos dos tipos de objetivos
con el nivel de riesgo aceptado y la tolerancia
Committee of Sponsoring Organization al riesgo.
of the Treadway Commission (COSO) COSO II expresa que, en una entidad, el ries-
COSO II (Gestión de riesgos corporativos – go aceptado puede expresarse en términos
Marco integrado) distingue cuatro categorías cualitativos o cuantitativos, y sugiere una ba-
de objetivos, que deben ser cubiertos en toda tería de consideraciones para su definición.
la estructura organizativa de una entidad, me- Como primera opción, contempla la expresión
diante ocho componentes o actividades para del riesgo aceptado en términos de un “mapa
la administración y gestión integral de los
de riesgo” lo que sugiere que la dirección de
riesgos. En la última actualización de COSO,
la organización debe poner en marcha accio-
los objetivos se han simplificado en tres cate-
nes para reducir la probabilidad y/o impacto
gorías (operaciones, información y cumpli-
de cualquier riesgo residual significativo in-
miento) y los ocho componentes finalmente
cluido en la zona amarilla, puesto que excede
han sido agrupados en cinco (entorno de con-
el riesgo aceptado.
trol, evaluación del riesgo, actividades de con-
trol, información y comunicación, actividades
En la nueva
de seguimiento). Formación del riesgo aceptado
actualización de COSO,
Alto
IEN
EG
IO
IM
Probabilidad
AT
AC
RM
PL
TR
ER
FO
M
ES
OP
IN
U N I DAD DE N EGOCIO
Ambiente interno
33
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En este nuevo marco de gestión de riesgos de Para determinar el apetito de riesgo, deben
COSO, se introducen y definen los conceptos seguirse tres pasos:
de apetito de riesgo y tolerancia al riesgo co-
1. Desarrollar el apetito de riesgo. La orga-
mo ya se ha explicado con anterioridad. De
nización debe integrar, y no evitar, el ries-
esta manera, sugiere que se obtiene un mayor
go como parte de su estrategia, estable-
grado de seguridad sobre el logro de los obje-
ciendo objetivos y desarrollando apetitos
tivos y especifica que el apetito de riesgo y la de riesgo diferentes, acordes a la misma.
tolerancia al riesgo, junto a la fijación de ob- No existe una norma o estándar universal
jetivos, son precondiciones necesarias para el de apetito de riesgo aplicable a todas las
establecimiento de un efectivo sistema de organizaciones, ni existe un “correcto”
control interno. apetito de riesgo, por lo que la Dirección
debe establecerlo, entendiendo y anali-
Respecto a los componentes del marco de
zando las ventajas y desventajas que im-
COSO, se indica que la identificación de even- plica tener un mayor o menor apetito de
tos y la evaluación de riesgos para dar res- riesgo.
puesta a éstos, deben considerarse siempre
en relación al apetito de riesgo definido. 2. Comunicar el apetito de riesgo. Existen
diversos enfoques utilizados para la co-
De forma adicional, COSO ha publicado en municación del apetito de riesgo. El pri-
2012 el informe “Understanding and Com- mer enfoque sugerido es la creación de
municating Risk Appetite”, con el objetivo de un estado de apetito de riesgo de carácter
ayudar a las entidades a implantar la gestión general, que refleje los niveles de riesgo
de riesgos (ERM). Además de llevar a cabo aceptables en la consecución de objetivos
una perfecta planificación, es necesario de- (mediante su representación en gráficos o
sarrollar y comunicar a toda la entidad una mapas de riesgos con bandas de riesgo
clara comprensión del apetito de riesgo defi- aceptable e inaceptable), lo suficiente-
nido, integrarlo en el proceso de planificación mente amplio y descriptivo como para
estratégica y no contemplarlo únicamente co- que las unidades organizativas puedan
mo un tema teórico de discusión. gestionar sus riesgos de forma consisten-
te dentro de la organización. El segundo
enfoque es la comunicación del apetito
Supervisión del Consejo de riesgo para cada uno de los objetivos
principales de la organización; mientras
que el tercero se centra en comunicar el
Alta Dirección apetito de riesgo para diferentes catego-
rías de riesgo.
34
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
35
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La definición de apetito de riesgo, según la BS iii. Investigación de los casos de riesgos asu-
31100, debe reflejar los siguientes aspectos: midos que no se están optimizando.
36
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
marcha este marco. Proceso que divide en las mentos para la supervisión del proceso de
siguientes fases: establecimiento del apetito); en segundo
· Diseño del apetito de riesgo, mediante la término, la medición (medir y evaluar para
interacción de los elementos presentes en determinar el impacto sobre el rendimiento
la organización, tales como la cultura de del negocio); en tercer lugar, el seguimiento
riesgos, su capacidad de riesgo, la madurez (identificación de desviaciones del proceso)
del proceso de gestión de riesgos y el esta- y, por último, el aprendizaje (identificación
blecimiento de diferentes apetitos de ries-
de las áreas de mejora).
go, en función de las diferentes naturalezas
y situaciones que se afronten.
En España: Código Unificado de Buen
· Construcción del apetito de riesgo, partien-
do de las capacidades de gestión del riesgo Gobierno Corporativo
por parte de la organización, se afrontan En el Código Unificado de Buen Gobierno
diferentes niveles de riesgo (a nivel estraté- (Código Conthe), se plasman las recomenda-
gico, táctico y operacional) de manera con- ciones efectuadas por el grupo especial de
junta con la propensión de la organización trabajo que asesoró a la Comisión Nacional
a asumir riesgos y a ejercitar las medidas del Mercado de Valores (CNMV) en 2005, pa-
de control correspondientes.
ra la armonización y actualización de las reco-
· Implantación del apetito de riesgo, median- mendaciones de los Informes Olivencia y Al-
te un proceso dividido en diferentes fases: dama sobre buen gobierno de las sociedades
1. Diseño inicial del apetito. cotizadas.
2. Búsqueda de compromiso e implicación
por parte de los stakeholders. El Código establece, en relación directa con el El apetito de riesgo
apetito de riesgo, “que la política de control y debe ser revisado por la
3. Desarrollo de un marco de apetito de
riesgo. gestión de riesgos debe identificar, al menos: Alta Dirección por lo
a) Los distintos tipos de riesgo (operativos, menos una vez al año,
4. Aprobación del marco por parte del Con-
junto con la estrategia
sejo. tecnológicos, financieros, legales, reputa-
de la organización y los
5. Desarrollar el propio proceso de implan- cionales…) a los que se enfrenta la socie-
procesos de
tación (establecimiento de parámetros dad, incluyendo entre los financieros o
planificación.
correctos, participación de implicados, in- económicos, los pasivos contingentes y
corporación a la estructura la organiza- otros riesgos fuera de balance.
ción, etc.).
b) La fijación del nivel de riesgo que la socie-
6. Informar del proceso interna y externa- dad considere aceptable.
mente.
c) Las medidas previstas para mitigar el im-
7. Revisar las actuaciones realizadas para
pacto de los riesgos identificados, en caso
determinar qué ha ido bien, qué ha sali-
de que lleguen a materializarse.
do mal y qué se deber hacer de forma di-
ferente de cara a próximas ocasiones. d) Los sistemas de información y control in-
· Gobierno del apetito de riesgo, mediante terno que se utilizarán para controlar y
los cuatro elementos críticos para que el gestionar los citados riesgos, incluidos los
apetito de riesgo sea útil para la organiza- pasivos contingentes o riesgos fuera de
ción. En primer lugar, la autorización (ele- balance.”
37
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Implantación
Previa implantación del concepto de apetito 2. Alcance.- Permite definir el ámbito de
de riesgo en cualquier organización, es preci- aplicación así como los integrantes de la
so asegurar que la entidad cuenta con un mo- organización para los que serán de obli-
delo de gestión de riesgos de acuerdo con los gado cumplimiento las directrices, políti-
principios y características definidas previa- cas y demás procedimientos derivados de
mente en este documento. El modelo implan- la implantación del sistema interno de
tado definirá los procesos y actividades por gestión de riesgos. Especialmente útil si
desarrollar por los empleados de cualquier or- se decide establecer un sistema de ges-
ganización en el ámbito de la gestión de ries- tión parcial, como puede ocurrir en orga-
gos y servirá de base para la definición del nizaciones en las que debido a su natura-
apetito de riesgo de la compañía. leza, tamaño o estructura organizativa no
sea aconsejable una implantación total.
La implantación del modelo se puede de-
sarrollar en 6 pasos: 3. Estrategia.- También llamada “misión”,
debe definir las actividades clave que se
realizarán con el propósito de cumplir la
PASO 1
“visión”. Se deberá incluir la necesidad
Definición del marco estratégico
de desarrollar y comunicar a toda la enti-
La definición de un marco estratégico facilita- dad una clara comprensión del apetito de
rá a la organización dotarse de una herra- riesgo.
mienta que permita implantar un sistema de
gestión de riesgos tal como reconoce COSO Algunos aspectos adicionales, de carácter
II8 (“Gestión de riesgos corporativos - Marco más específico, que debe contemplar el marco
integrado”). Para ello debe incluir, al menos, definido son:
los siguientes aspectos: · El compromiso de los grupos de interés pa-
1. Objetivo.- Consistente en determinar la ra apoyar una efectiva implantación.
finalidad de la implantación del sistema, · Procedimiento para la periódica revisión y
llámese también “visión”; asimismo debe actualización del marco, de acuerdo con el
asegurarse que está alineada con los ob- nivel de madurez en materia de gestión de
jetivos estratégicos de la organización. riesgos de la entidad.
8. COSO II en su apartado sobre la relación entre “Incertidumbre” y “Valor” sugiere que “…el valor se maximiza cuando
la dirección establece una estrategia y unos objetivos que consiguen un equilibrio óptimo entre las metas de creci-
miento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los ob-
jetivos de la entidad.”
38
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
39
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
9. ECIIA, Confederación Europea de Institutos de Auditores Internos. FERMA, Federación Europea de Asociaciones de Ges-
tión de Riesgos
40
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
41
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
42
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
43
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
44
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
45
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
una cultura de gestión de riesgos en la or- sión que garantice la correcta integración
ganización, y a que todos sus integrantes del apetito de riesgo, y de la gestión de
tomen conciencia de la importancia de riesgos en su conjunto, dentro de la orga-
gestionar su actividad teniendo en cuenta nización.
el riesgo que asumen y su grado de vincu-
lación con los objetivos de la organiza-
ción. Resumen
Este hecho debe considerarse especial- A continuación se muestra un cuadro resu-
mente en aquellas entidades que desarro- men de los pasos, acciones y responsables
llan su actividad en sectores en los que que deben considerarse a la hora de implan-
no existe regulación específica al respec- tar el apetito de riesgo como parte integrante
to. Éstas deberán responsabilizarse de lle- del sistema de gestión de riesgos de una or-
var a cabo un ejercicio de auto-supervi- ganización.
1 Órganos
Objetivo, alcance y estrategia
de Gobierno
Definición marco estratégico
4 Órganos
Apetito y tolerancia al riesgo
de Gobierno
Asignación niveles de riesgo
5 Función Gestión de
Cálculo. Priorización
Riesgos. Alta dirección
Metodología de cálculo
46
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
47
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
enfocarlo como una herramienta clave de no obstante, sin un proceso de gestión que
apoyo a la gestión organizativa y con un pa- permita identificar, analizar, evaluar, decidir y
pel activo en la toma de decisiones. Se trata comunicar los riesgos afrontados, el apetito
en definitiva de evaluar qué eventos son asu- de riesgo carece de sentido. Esta afirmación
mibles por la organización de acuerdo a su no significa que las organizaciones no tengan
estrategia y cuáles no. Es en este caso cuando actitud frente al riesgo, elemento que siempre
la implantación del apetito de riesgo suele ser
va a estar presente en ellas, sino que sin un
fuente de ventajas competitivas. Dar el salto
sistema de gestión de riesgos previamente
hacia este tipo de modelos y embeber el ape-
implantado, no merece la pena hacer explíci-
tito de riesgo en la asignación de responsabi-
tas esas actitudes mediante el apetito de ries-
lidades, flujos de reporte y tareas diarias, re-
quiere que una organización cuente con una go.
cultura organizativa sensible a la gestión de
Los sistemas integrales de gestión de riesgos
riesgos así como con una dotación de recur-
son una buena práctica de gestión y cada vez
sos suficientes para dicha tarea. Este enfoque
más organizaciones, de todos los tamaños y
es común en empresas del sector financiero,
sectores, implantan estos procesos de segui-
más acostumbradas a una gestión sofisticada
miento y control de riesgos.
de los riesgos pero cada día prolifera más en
otros sectores menos regulados. Adicionalmente, otra pieza clave que sustenta
el apetito de riesgo es la cultura organizati-
va. El apetito de riesgo, al igual que el proce-
so de gestión de riesgos en el que se enmar-
ca, debe ser parte de la cultura de la organi-
APETITO zación que cohesiona a las personas, los pro-
CUMPLIMIENTO GESTIÓN
DE ORGANIZATIVA cesos y los recursos que la integran. Las orga-
RIESGO nizaciones que aspiran a disponer de un ape-
tito de riesgo efectivo y útil deben entender la
aportación de valor que supone este tipo de
gestión, así como hacer conscientes a sus
miembros de la relevancia de la gestión de
riesgos, y favorecer los valores de comunica-
ción abierta, gestión activa y responsabilidad.
¿QUÉ CONDICIONES PREVIAS La superación del escepticismo inicial y resis-
REQUIERE? tencia al cambio, que suele acompañar estas
La condición necesaria para hacer explícito y iniciativas, es un problema complejo cuya so-
útil el apetito de riesgo de una organización lución consume tiempo y recursos; dicha solu-
es tener implantados los elementos funda-
ción necesariamente pasa por hacer partíci-
mentales de un sistema de gestión de ries-
pes a los miembros de la organización del sis-
gos.
tema de gestión de riesgos y por contar con
Existen diversos grados de madurez y de - el apoyo incondicional de los órganos respon-
sarrollo en los sistemas de gestión de riesgos, sables.
48
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
49
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Evalúe la capacidad total de soportar riesgos. Es necesario que el apetito sea menor que la
4 capacidad de riesgo. Adicionalmente, es recomendable tener cierto margen de tolerancia.
Asegúrese de que la información utilizada para medir los riesgos y el apetito de riesgo
7 está actualizada y es adecuada, tanto en cantidad como en calidad.
50
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
ANEXOS
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Anexo I · Definiciones
COSO ISO 31000 / Guide 73 BS31100 not prepared to venture in the pursuit of
Risk Appetite: the broad - based amount Risk appetite: Amount and type of risk its long term objectives.
of risk an entity is willing to accept in pur- that an organization is willing to pursue or Risk capacity: the ability to carry risks, and
suit of its mission/vision. retain. the risk management maturity to manage
Risk Tolerance: The acceptable level of va- them.
The Institute of Risk Management
riation in performance relative to the
(IRM), “Risk Appetite & Tolerance Gui-
achievement of objectives
dance Paper”
British Standards, BS 31100 October Risk appetite: The amount of risk that an
2008 organization is willing to seek or accept in
Risk appetite: the amount and type of risk the pursuit of its long term objectives.
that an organization is prepared to seek, Risk tolerance: The boundaries of risk ta-
accept or tolerate. king, outside of which the organization is
52
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
el primer acuerdo “Basilea I”, donde se Aunque los acuerdos del Comité de Super- co, así como las políticas y procesos en
proponían las normas mínimas que deberí- visión Bancaria de Basilea son recomenda- materia de gobierno corporativo acordes a
an cumplir las entidades financieras para ciones sobre regulación y supervisión ban- este perfil de riesgo, para garantizar un
mantener el control prudente de sus ope- caria no vinculantes, han sido adoptados control eficaz sobre todas las actividades
raciones. Fruto de las limitaciones impor- por numerosos países e integrados en su del banco. El supervisor lo evalúa periódi-
tantes derivadas de la innovación financie- regulación local. camente y verificará que el Consejo aprue-
ra emergente, en 2004 se publicó “Basilea En la última publicación del Comité de Su- ba y vigila la aplicación de la dirección es-
II”, con el objetivo de unificar la medición pervisión Bancaria de Basilea “Principios tratégica y la estrategia sobre riesgos de la
de los riesgos de los distintos reguladores Básicos para una supervisión bancaria efi- entidad, así como de las políticas relacio-
y supervisores internacionales, a fin de po- caz” de 2012, se detallan los 29 principios nadas, establece y comunica la cultura y
der homogeneizar la legislación y regula- básicos que considera necesarios para la los valores corporativos y establece políti-
ción bancaria en materia de riesgos. eficacia del sistema financiero, debiendo cas en materia de conflictos de intereses,
ser evaluados por las autoridades naciona- además de un sólido entorno de control.
En 2010 el Comité de Supervisión Bancaria
de Basilea publicó “Basilea III” con el pro- les, para tener en cuenta las circunstancias A su vez, como principio de “Gestión del
pósito de mejorar la capacidad del sector específicas de cada país y cubrir todas las Riesgo”, el Marco regulador señala que el
necesidades y circunstancias de cada siste- supervisor debe verificar que el banco
bancario para absorber perturbaciones
ma bancario. cuenta con adecuadas estrategias de ges-
procedentes de tensiones financieras y
En esta publicación, se atribuye al Consejo tión del riesgo que han sido aprobadas por
económicas derivadas de la crisis financie-
de los bancos la tarea de fijar el nivel de el Consejo y que éste establece un apro-
ra internacional iniciada en 2007. Basilea
riesgo agregado que está dispuesto a asu- piado nivel de apetito de riesgo al objeto
III reforzaba la regulación internacional so-
mir y gestionar en aras de los objetivos de de definir el riesgo que el banco está dis-
bre el capital y la liquidez. Aparte de las
negocio de la entidad. puesto a asumir o tolerar. El supervisor ve-
nuevas exigencias, introduce un nuevo en-
rifica que:
foque y principios fundamentales de ges- Los principios se agrupan en dos grandes
categorías: · El Consejo garantiza que:
tión y supervisión de los riesgos financieros
y organizativos. - Principios 1 a 13: se centran en las po- g) existe una sólida cultura de gestión
testades, atribuciones y funciones de los del riesgo en todo el banco;
En la revisión de Basilea III de junio de
2011, se responsabiliza explícitamente a la supervisores. h) se han desarrollado políticas y pro-
alta dirección de las entidades de la defini- cesos para la asunción de riesgos,
- Principios 14 a 29: se centran en las re-
ción de la cantidad de riesgo que están acordes con la estrategia de gestión
gulaciones y requisitos prudenciales que
dispuestos a aceptar en su visión. Textual- del riesgo y el nivel establecido de
deben cumplir los bancos.
mente: apetito de riesgo;
En varios de los principios recomendados
“La alta dirección debe asumir un papel de i) se tiene constancia de las incerti-
en la segunda categoría (regulaciones y re-
dumbres asociadas a la medición del
liderazgo en la integración de las pruebas quisitos prudenciales), que cubren riesgos
riesgo;
de tensión en el marco de la gestión de como el de crédito, el operacional, el de li-
riesgos del banco y de su cultura de ries- quidez, o el de mercado, indica que los sis- j) se establecen límites adecuados
gos, y garantizar que los resultados son temas deben tener siempre en cuenta el acordes con el apetito de riesgo;
significativos y se aplican diligentemente a apetito de riesgo y el perfil de riesgo del k) el perfil de riesgo y la solidez del ca-
la gestión del riesgo de crédito de contra- banco, así como la situación macroeconó- pital del banco, son periódicamente
parte. Como mínimo, los resultados de las mica y de los mercados. comunicados al personal pertinente
pruebas de tensión para exposiciones sig- Comprendido en el principio de “Gobierno y comprendidos por éste; y
nificativas deben compararse con las direc- Corporativo”, como criterio esencial, se l) la alta dirección adopta las medidas
trices que explicitan el apetito del banco hace especial énfasis en que deben esta- necesarias para vigilar y controlar
por el riesgo, así como analizarse y servir blecerse claramente las atribuciones del cualquier riesgo significativo de con-
de base para adoptar medidas ante riesgos Consejo y la alta dirección del banco, los formidad con las estrategias aproba-
excesivos o concentrados.” cuales definen el perfil de riesgo del ban- das y el apetito de riesgo establecido.
53
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
· Las estrategias, políticas, procedimientos b) La gestión de activos y pasivos. las cuestiones vinculadas con el apetito, la
y límites en materia de gestión del ries- c) La inversión, en particular, en instrumen- tolerancia y el perfil de riesgo, auténticos
go: tos derivados y compromisos similares. pilares de la gestión de riesgos que deter-
d) se documentan adecuadamente; minan, en gran medida, las actuaciones de
d) La gestión del riesgo de liquidez y de
las organizaciones a la hora de diseñar y
e) se revisan periódicamente y actuali- concentración.
ejecutar la estrategia para alcanzar sus ob-
zan adecuadamente para reflejar e) La gestión del riesgo operacional. jetivos. A continuación destacamos las más
cambios en el apetito de riesgo, el
f) El reaseguro y otras técnicas de reduc- representativas:
perfil de riesgo y la situación macro-
ción del riesgo.
económica; y OCDE: Principios de Gobierno Corporati-
Según establece la Directiva en su Artículo
f) se comunican dentro del banco. vo.
45, estas entidades, además, deben efec-
Marco regulador para entidades asegu- tuar una evaluación interna de los riesgos La Organización para la Cooperación y el
radoras (Solvencia II) y de la solvencia, abarcando como mínimo Desarrollo Económicos (OCDE) tiene por
determinados aspectos clave; i) las necesi- misión promover políticas que mejoren el
La Directiva Europea 10 que establece el
dades globales de solvencia de la organi- desarrollo económico y el bienestar social
marco de Solvencia II, regula tres aspectos
zación, teniendo en cuenta su perfil de de las personas en todo el mundo.
fundamentales relacionados con las enti-
riesgo específico, sus límites de tolerancia Esta Organización ha adoptado un enfo-
dades aseguradoras:
al riesgo aprobados y la estrategia comer- que orientado a facilitar ciertos instrumen-
1) El acceso a las actividades por cuenta cial de la empresa, ii) el cumplimiento con- tos de ayuda a los Gobiernos de los esta-
propia del seguro directo y del reasegu- tinuo de los requisitos de capital y de los dos miembro para conseguir estos objeti-
ro y el ejercicio de las mismas en ámbito requisitos en materia de provisiones técni- vos. Entre ellos destacan políticas relativas
de la Comunidad Europea. cas establecidos en la propia Directiva y iii) a la economía, la innovación, la educación,
2) La supervisión de los grupos de seguros la medida en que el perfil de riesgo de la las finanzas, los impuestos o la ética em-
y reaseguros. empresa se aparta de las hipótesis en que presarial entre otros.
3) El saneamiento y la liquidación de las se basa el capital de solvencia obligatorio
En el ámbito del Gobierno Corporativo, la
empresas de seguros directos. previsto también en la propia Directiva.
OCDE publicó una serie de Principios11 que
Dentro del Título I, en la Sección 2 relativa Mejores prácticas internacionalmente han acabado convirtiéndose en referencia
al Capitulo 4, la Directiva establece los re- aceptadas obligada para determinados colectivos co-
querimientos generales que deben regir en mo políticos, inversores y empresas de to-
Frente a las exigencias normativas o regu-
el Sistema de Gobernanza exigible para es- do el mundo. Si bien estos Principios no
latorias específicas, diferentes instituciones
te tipo de organizaciones. En concreto, se constituyen normas vinculantes, se consi-
de reconocido prestigio internacional han
hace referencia a una serie de requisitos deran una auténtica buena práctica para
publicado documentación en materia de
que ese Sistema debe cumplir a modo de fortalecer la estructura del gobierno corpo-
gestión de riesgos que, basada en las me-
pautas de control interno, entre los que rativo de empresas y otras organizaciones
jores prácticas existentes, se han converti-
destaca el apartado específico que hace y para contribuir a fortalecer la confianza
do en verdaderas fuentes de referencia.
referencia a las actividades de gestión de y la integridad en el ámbito económico y
Muchas de estas instituciones han publica-
riesgos de estas organizaciones. de los negocios.
do informes, guías y position papers en los
El sistema de gestión de riesgos debe cu- que han tratado diversas materias relacio- Entre las recomendaciones proporcionadas
brir, como mínimo, las siguientes áreas: nadas con las actividades de gestión de por estos Principios, destacan cuestiones
a) La suscripción y la constitución de reser- riesgos. Entre estas materias tratadas, co- concretas sobre la actuación de los Conse-
vas. mo no podía ser de otra manera, resaltan jos de Administración de las empresas en
10.Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el seguro de vida, el acceso a la actividad de seguro y de
reaseguro y su ejercicio (Solvencia II).
54
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
la gestión de riesgos. De forma más con- Con relación al componente “Entorno de Respecto a los roles y responsabilidades,
creta, se señala la idoneidad de disponer Control”, COSO II define que los factores atribuyen expresamente al Consejero Dele-
de una Política de Riesgos que abarque la del ambiente de control deben incluir la fi- gado la responsabilidad última de titulari-
especificación de los diferentes tipos y gra- losofía de gestión de riesgos de la entidad dad de la gestión de los riesgos corporati-
dos de riesgo que una entidad se encuen- y su riesgo aceptado, así como el resto de vos, proporcionando el liderazgo y orienta-
tra dispuesta a aceptar, en su intento por componentes como la integridad, los valo- ción necesario a la alta dirección, estable-
alcanzar sus objetivos (es decir, el apetito res éticos o la estructura organizativa. ciendo políticas amplias que reflejen la fi-
de riesgo). Constituyendo esta Política una losofía de gestión de riesgos de la entidad,
A su vez, en el punto de “Establecimiento
directriz de carácter vital para los directivos así como su riesgo aceptado. Respecto a
de objetivos” sugiere la vinculación entre
encargados de gestionar los riesgos, con el su supervisión, sugiere que la responsabili-
la misión de la entidad y los objetivos es-
fin último de determinar el perfil de riesgo dad de supervisar la gestión de los riesgos
tratégicos, así como con el resto de objeti-
deseado por la organización (Apartado D corresponda a un Comité de Riesgos cen-
vos relacionados, alineando estos dos tipos
de la parte VI relativa a las Responsabilida- trado directamente en éste área, desarro-
de objetivos con el nivel de riesgo acepta- llando y perfeccionando el riesgo aceptado
des del Consejo).
do y la tolerancia al riesgo. y las tolerancias al riesgo de la empresa.
Committee of Sponsoring Organization COSO II expresa que, en una entidad, el Respecto al framework de gestión de ries-
of the Treadway Commission (COSO). riesgo aceptado puede expresarse en tér- gos COSO II, que establece y facilita una
COSO se formó para mejorar la calidad de minos cualitativos o cuantitativos, y sugie- guía para ayudar y desarrollar actividades
los reportes financieros mediante la ética re una batería de consideraciones para su para la gestión de riesgos, en la actualiza-
en los negocios, con objeto de tener con- definición. Como primera opción, contem- ción de COSO en mayo de 2013, se define
troles internos y gobierno corporativo efec- pla la expresión del riesgo aceptado en tér- la gestión de riesgos como un proceso que
tivos. Basado en estos principios, se des- minos de un “mapa de riesgo”, sugiriendo debe ser establecido por la dirección y
arrolló y publicó el marco de trabajo del que la dirección de la entidad debe poner aplicado en la estrategia de toda la enti-
COSO II como una fundación para estable- en marcha acciones para reducir la proba- dad. El cambio de enfoque está basado en
cer sistemas de control interno y determi- bilidad y/o impacto de cualquier riesgo re- la identificación de eventos potenciales de
nar su efectividad. En 2012, COSO ha rea- sidual significativo incluido en la zona riesgo que puedan afectar, gestionando los
lizado una actualización del marco COSO, amarilla, puesto que excede el riesgo acep- riesgos en base al apetito de riesgo defini-
publicando actualmente el borrador “Inter- tado. do, y asegurando la consecución de los ob-
nal Control - Integrated Framework”, que jetivos de la entidad. De este modo, el fra-
Como segunda opción expone, principal-
adapta COSO II a los cambios y avances en mework de gestión de riesgos de la última
mente para empresas de servicios financie-
las operaciones de tecnología y de nego- actualización de COSO amplía la visión del
ros y sector energético, adoptar un enfo-
cios, y lo mejora. Control Interno definido en COSO II.
que sofisticado de aproximación al riesgo
COSO II distingue cuatro categorías de ob- En este nuevo marco de gestión de riesgos
aceptado mediante técnicas cuantitativas.
jetivos, que deben ser cubiertos en toda la de COSO, se introduce el concepto de ape-
A su vez, para organizaciones avanzadas
estructura organizativa de una entidad, tito de riesgo, definiéndolo como el riesgo
indica que pueden expresar el riesgo acep-
mediante ocho componentes del marco re- que se está dispuesto a aceptar en la bús-
tado empleando medidas relativas al mer-
conocido para la administración y gestión queda de la misión/visión de la entidad,
cado o de capital riesgo.
integral de los riesgos. En la actualización formando un hito más en la fijación de la
de COSO en mayo de 2013, se han simpli- En el componente de “Respuesta a los estrategia y los objetivos. Esto refleja una
ficado en tres categorías (operaciones, in- Ries gos” muestra que es la Dirección nueva filosofía de gestión de riesgos en la
formación y cumplimiento) y los ocho com- quien, ante las oportunidades que puedan entidad, que a su vez influye en su cultura
ponentes finalmente han sido agrupados existir, debe indicar y determinar si el ries- y su estilo operativo. El apetito de riesgo
en cinco (entorno de control, evaluación go residual global concuerda con el riesgo ayuda a alinear la organización, las perso-
del riesgo, actividades de control, informa- aceptado por la entidad, asumiendo una nas y los procesos, en el diseño de la in-
ción y comunicación, actividades de segui- perspectiva del riesgo global para la enti- fraestructura necesaria para responder efi-
miento). dad. cazmente y monitorizar los riesgos.
55
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
A su vez, define la tolerancia al riesgo co- nización debe integrar, y no evitar, el bles deben monitorear que las activida-
mo el nivel aceptable de variación en los riesgo como parte de su estrategia, es- des son realizadas en coherencia al
resultados o actuaciones de la compañía tableciendo objetivos y desarrollando apetito de riesgo definido, a través de
relativas a la consecución o logro de sus apetitos al riesgo diferentes, acordes a una combinación de monitorización y
objetivos(operaciones, información y cum- la misma. No existe una norma o es- evaluaciones separadas. El departa-
plimiento), alineando éstos con el apetito tándar universal de apetito de riesgo mento de Auditoría Interna, a su vez,
de riesgo marcado. De esta manera, sugie- aplicable a todas las organizaciones, ni puede apoyar en la gestión de este se-
re que se obtiene un mayor grado de segu- existe un "correcto" apetito de riesgo, guimiento.
ridad de que la entidad logrará sus objeti- por lo que la Dirección debe establecer-
Cuando se lleve a cabo la supervisión
vos, y especifica que el apetito de riesgo y lo, entendiendo y analizando las venta-
del apetito de riesgo, sugiere que debe
la tolerancia al riesgo, junto a la fijación de jas y desventajas que implica tener un
incentivarse la creación de una cultura
objetivos, son precondiciones necesarias mayor o menor apetito de riesgo.
en la organización, que fomente la
para el establecimiento de un sistema de 5. Comunicar el apetito de riesgo: Exis- concienciación de los integrantes de la
control interno efectivo. ten diversos enfoques utilizados para la misma acerca de los riesgos, y su vincu-
Respecto a los componentes del frame- comunicación del apetito de riesgo. El lación con los objetivos de la organiza-
work de COSO, indica que la identificación primer enfoque sugerido es la creación ción.
de eventos y la evaluación de riesgos para de un estado de apetito de riesgo de
dar respuesta a éstos, deben considerarse carácter general, que refleje los niveles International Organization for Standardi-
siempre en relación al apetito de riesgo de riesgo aceptables en la consecución zation (ISO).
definido. de objetivos (mediante su representa- ISO es la mayor organización mundial en-
ción en gráficos o mapas de riesgos cargada de promover el desarrollo de nor-
De forma adicional, COSO ha publicado en
que fijen las bandas de riesgo acepta- mas internacionales de fabricación (pro-
2012 el informe “Understanding and Com-
ble e inaceptable), debiendo ser lo sufi- ductos y de servicios), comercio y comuni-
municating Risk Appetite”, con el objetivo
cientemente amplio y descriptivo como
de ayudar a las entidades a implantar la cación para casi todas las ramas industria-
para que las unidades organizativas
gestión de riesgos (ERM) persiguiendo el les (excepto la rama eléctrica y la electróni-
puedan gestionar sus riesgos de forma
logro de sus objetivos. Para ello, es necesa- ca). Su principal función es facilitar la es-
consistente dentro de la organización.
rio decidir y establecer las metas, tácticas u tandarización de normas en productos y en
El segundo enfoque es la comunicación
objetivos operacionales de la entidad, pu- la seguridad para empresas u otras organi-
del apetito al riesgo para cada uno de
diendo ser más agresivas o conservadoras, zaciones a nivel internacional (ya sean pú-
los objetivos principales de la organiza-
y plasmarlas en una mayor o menor tole- blicas o privadas). Las normas desarrolla-
ción, mientras que el tercero se centra
rancia al riesgo. Además de realizar una das por ISO son de cumplimiento volunta-
en comunicar el apetito de riesgo para
perfecta planificación, para el éxito, es ne- rio, ya que se trata de un organismo no
diferentes categorías de riesgo.
cesario desarrollar y comunicar a toda la gubernamental y no depende de ningún
6. Controlar y actualizar el apetito de otro organismo internacional.
entidad una clara comprensión del apetito
riesgo: Una vez que el apetito de ries-
de riesgo definido, e integrarlo en el proce- En noviembre de 2009 publicó un conjun-
go sea comunicado, los responsables
so de planificación estratégica (no contem- to de principios y pautas para servir de
de la gestión, con el apoyo de la direc-
plarlo únicamente como un tema teórico ayuda a todo tipo de organizaciones a la
ción, deben revisarlo y reforzarlo. El
de discusión). hora de afrontar, de una manera sistemati-
apetito de riesgo no se puede estable-
Para determinar el apetito de riesgo, la cer y luego olvidarlo, sino que debe ser zada y eficaz, el proceso de instauración
gestión, la supervisión y la concurrencia, revisado en relación a la forma en que de un sistema para la gestión de riesgos12.
deben seguirse tres pasos: opera en la organización, especialmen- Si bien, hasta el momento, no se trata de
4. Desarrollar el apetito de riesgo: Para te en las entidades donde el modelo de una normativa certificable, similar a otras
desarrollar el apetito al riesgo, la orga- negocio está cambiando. Los responsa- normativas ISO, muchas organizaciones
12. ISO 31000: 2009, Risk Management - Principles and guidelines on implementation.
56
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
han adoptado esta perspectiva de gestión - Evaluación de riesgos: se trata de es- otra, en función de cómo se haya determi-
de riesgos debido a que el estándar combi- tablecer una estimación sobre el im- nado ese apetito.
na los mejores aspectos de varios marcos pacto y la probabilidad de ocurrencia De manera complementaria, el documento
formales de gestión de riesgos corporati- de los riesgos identificados. de vocabulario y términos de gestión de
vos. Esto les permite sacar provecho de · Tratamiento del riesgo: Consiste en riesgos que también publicó ISO13, detalla
ello, al favorecer que el sistema de gestión seleccionar la opción más adecuada una definición concreta de los conceptos
de riesgos implantado permita a la organi- para tratar el riesgo, de acuerdo a la de actitud, apetito y tolerancia de riesgo
zación, entre otras cosas, incrementar el naturaleza y características de éste. de una organización.
nivel de confianza de los stakeholders, · Monitorización y revisión: Debe abar-
aprovechar las oportunidades y defenderse car todos los aspectos del proceso de British Standard 31100.
de las amenazas del negocio, optimizar la gestión de riesgos a los efectos de: La BS 31100 es un código de conducta pa-
asignación de los recursos y mejorar el go- ra la gestión de riesgos iniciado por un co-
a) Analizar y aprender las lecciones
bierno, el control interno y el rendimiento mité técnico, formado en 2006 por miem-
con origen en los eventos, cambios
de las organizaciones. bros de la industria, reguladores y acadé-
y tendencias,
El estándar 31000 proporciona un marco micos, publicado por el Grupo BSI (British
b) Detectar los cambios en el contexto
para que la función de gestión de riesgos Standards Institution) en 2008. Proporcio-
interno y externo y en los propios
dentro de una organización tenga éxito en na una guía con recomendaciones para la
riesgos, que requieran una revisión
la consecución de sus propósitos y objeti- gestión de riesgos (principios, modelos, fra-
de las prioridades y tratamiento del
vos. Además, establece un proceso especí- mework y procesos) para ayudar a las or-
riesgo,
fico para la gestión de riesgos, dividido en ganizaciones a alcanzar sus objetivos y
c) Asegurar que las medidas de trata- ayudar a mejorar el resultado a través de
las siguientes fases:
miento y control de riesgos son efi- una gestión efectiva del riesgo.
· Establecer el contexto: Como punto caces desde el punto de vista ope-
de partida, se debe establecer el con- La BS 31100 está dirigida a organizacio-
rativo y de diseño,
texto en el que se relaciona la organi- nes de todos los tamaños, adaptando su
d) Identificar nuevos riesgos. lenguaje especialmente para ser compren-
zación desde dos puntos de vista dife-
· Comunicación e información: Se trata sible tanto para las organizaciones peque-
renciados, el contexto externo y el con-
de identificar, captar y comunicar la in- ñas como para las multinacionales. A su
texto interno. Todo ello con el objeto de
formación relevante en materia de ries- vez, busca reducir las duplicidades tanto
entender objetivos y expectativas de los
gos para darles respuesta y comunicar como sea posible con otras normas o mar-
stakeholders internos y externos de la
el rol y responsabilidades de todos los cos de referencia, mediante la vinculación
organización.
participantes en el proceso. e integración del lenguaje y las metodolo-
· Valoración del riesgo: Contempla tres
En cuanto al apetito de riesgo, el estándar gías de las ya existentes.
actuaciones diferentes para entender el
ISO lo menciona expresamente cuando ha- En los principios de gestión del riesgo, su-
riesgo, sus orígenes y sus consecuen-
bla de la Política de Gestión de Riesgos, giere utilizar o integrar la gestión de ries-
cias:
puesto que en este documento se debe es- gos en la toma de decisiones. Esta gestión
- Identificación de riesgos: se trata de pecificar claramente el apetito, como parte de riesgos, debe apoyarse en la definición
localizar aquellas situaciones que pue- de los objetivos y compromisos de la orga- del apetito de riesgo y la capacidad, dentro
den afectar a la organización. nización con la gestión de sus riesgos. de los límites de las decisiones de inver-
- Análisis de riesgos: consiste en deter- Asimismo, se menciona la importancia del sión que deben ser realizadas. El apetito
minar los orígenes de los riesgos, las apetito en la fase del proceso relativa a la de riesgo debe traducirse en niveles de to-
áreas de impacto, los eventos y sus evaluación del riesgo, puesto que influirá lerancia de riesgo de los diferentes depar-
causas y las consecuencias potenciales en la decisión de la organización de tratar tamentos, programas, proyectos y opera-
de los mismos sobre la organización. las situaciones de riesgo de una manera u ciones. Estos niveles deben ir acompaña-
57
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
dos de reglas de escalado para los riesgos Una vez definida la estrategia de gestión · Reflejarlo o incorporarlo en la política
o grupos de riesgos que excedan los lími- de riesgos en la entidad, como componen- de gestión del riesgo de la organización
tes de los niveles de tolerancia fijados por te específico del framework, la BS 31100 y notificarlo, como parte de un sistema
la alta dirección. define el apetito de riesgo como la canti- de reporte interno de riesgos de la orga-
La BS 31100 define un framework, o mar- dad de riesgo que la organización está dis- nización.
co de gestión de riesgos, formado por diez puesta a aceptar, tolerar o estar expuesta Se indica que la definición de apetito al
componentes interrelacionados que deben en cualquier momento del tiempo. Habla riesgo puede realizarse de dos formas:
estar correctamente definidos, y formar del apetito de riesgo refiriéndose a la acti-
a) Declaraciones cualitativas que descri-
parte de la cultura de gestión de riesgos tud de la organización hacia la toma de
ben los riesgos específicos de la organi-
en la entidad: riesgos y si está dispuesto y/o en condicio-
zación que está o no dispuesto a acep-
1. Gestión de riesgos. nes de aceptar un alto o un bajo nivel de
tar;
exposición a riesgos específicos o grupos
2. Estrategia de la gestión de riesgos. b) Declaraciones cuantitativas, donde se
de riesgos o categorías de riesgo. Esto per-
3. Apetito de riesgo. mite a la organización incrementar sus re- describen los límites, umbrales o indica-
4. Política de gestión de riesgos. sultados mediante la optimización de la dores clave de riesgo, estableciendo có-
toma de riesgos y la aceptación de los ries- mo han de ser juzgados los riesgos y
5. Categorización y medición de los ries-
gos calculados dentro de un nivel apropia- sus beneficios y/o cómo evaluar y vigi-
gos y su impacto.
do de autoridad. lar el impacto agregado de estos ries-
6. Roles y responsabilidades. gos.
La definición de apetito de riesgo debe re-
7. Herramientas de gestión de riesgos. El perfil de riesgo de la organización se
flejar los siguientes aspectos:
8. Formación. manifiesta en el riesgo real al que ésta de-
· Proporcionar orientación y límites sobre
9. Reporte. cide enfrentarse. Debe ser evaluado y con-
el riesgo que se puede aceptar dentro
10.Revisión. siderado en la aplicación de los procesos
de la organización, marcando el riesgo y
de gestión de riesgos, debiendo ser objeto
El primer componente es el “Risk Gover- recompensa asociados que se conside-
de comparación con el apetito de riesgo y
nance”, definido como la estructura de ran equilibrados y la probabilidad de
la gestión adecuada de las medidas adop-
gestión del riesgo, los procesos y los meca- respuesta;
tadas. Esto puede incluir:
nismos a través de los cuales se debe lle- · Considerar el entorno de la organiza-
var a cabo la gestión de los riesgos, y la iv. Acciones de gestión específicas para
ción operativa, comprendiendo el valor,
definición de las responsabilidades y auto- alinear el perfil de los riesgo al apetito;
la rentabilidad de la gestión, el rigor de
ridades. El propósito reside en informar a los controles y los procedimientos de v. Revisión de la propensión frente al ries-
la Junta para la toma de decisiones y pro- aseguramiento; go, de acuerdo con el clima y evolución
porcionar una opinión independiente de si del negocio, y / o
· Reconocer que la organización podría
la actividad de gestión de riesgos es eficaz, vi. Investigación de los casos de riesgos
estar dispuesta a aceptar una propor-
suficiente y está alineada con la consecu- asumidos que no se están optimizando.
ción de riesgo más alta de lo normal en
ción de los objetivos estratégicos/operacio-
un área, si el saldo global de riesgo es Con relación a la asignación de roles y res-
nales. De esta manera muestra que el Go-
aceptable; ponsabilidades, responsabiliza a la Junta
vernance debe considerar todos los com-
ponentes del framework de gestión de · Definir el control, los permisos y sancio- Directiva, alta dirección (o equivalente), co-
riesgos, entre los cuales comprende el ape- nes del entorno, incluyendo la delega- mo órgano responsable de establecer y/o
tito de riesgo. Indica que se deben definir ción de autoridad en relación con la aprobar el apetito de riesgo de la organi-
claramente los parámetros del nivel de aprobación de la aceptación del riesgo zación y los apetitos al riesgo para las uni-
riesgo que son aceptables para la organi- de la organización, destacando los nive- dades auxiliares o funciones, debiendo ser
zación, así como los umbrales que desen- les graduales de control, y lo que en el comunicada a toda la organización.
cadenan la necesidad de escalarlo, la revi- proceso de escalamiento se considera El apetito de riesgo debe ser revisado por
sión y aprobación por parte de un organis- que se están sobrepasando los criterios la alta dirección (o su equivalente) por lo
mo o persona responsable. de aceptación del riesgo; menos una vez al año, junto con la estrate-
58
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
gia de la organización y los procesos de su actividad en el ámbito de la gestión de riesgos y a ejercitar las medidas de con-
planificación. De esta manera se consigue riesgos, proporcionando a los profesiona- trol.
que el perfil de riesgo de la organización y les de esta materia las herramientas y las · Implantación del apetito de riesgo: se
el apetito de riesgo definido se encuentren habilidades necesarias para poder afrontar describen las diferentes fases para im-
alineados, afrontando un apetito de riesgo con éxito los desafíos de un entorno de plementar el apetito de riesgo en la or-
acorde a las características y situaciones negocio cada vez más cambiante y sofisti- ganización, en concreto a) el diseño ini-
que afecten a la empresa en ese momento. cado. cial, b) el compromiso de los stakehol-
En el resto de componentes del frame- Esta institución ha publicado documentos ders, c) el propio desarrollo del marco,
work, indica otras consideraciones del ape- relacionados con la gestión de riesgos en d) la aprobación por parte del Consejo,
tito de riesgo como su inclusión en el con- general14, y con el apetito de riesgo, en e) la propia implantación (estableci-
tenido mínimo de la Política de Gestión del particular15. miento de parámetros correctos, partici-
Riesgo, o que debe tenerse en cuenta en En relación al apetito de riesgo, el docu- pación de implicados, incorporación a la
los criterios de medida y categorización de mento del IRM aborda, basándose en las estructura la organización, etc.), f) infor-
impacto del riesgo, siendo siempre acordes estipulaciones recogidas en el UK Corpora- mar del proceso interna y externamente
a este. te Governance Code, diferentes cuestiones y, por último, g) una revisión para deter-
Como punto diferencial, incluye un compo- relacionadas con el desarrollo de un marco minar qué ha ido bien, que ha salido
nente del framework que es la formación, de apetito de riesgo dentro de una organi- mal y qué se deber hacer de forma dife-
donde especifica que para apoyar la incor- zación. Partiendo de una definición muy rente la próxima vez.
poración de la gestión del riesgo en toda completa e intuitiva del apetito y la tole- · Gobierno del apetito de riesgo: donde
la organización y el desarrollo de la madu- rancia al riesgo, se establecen las nociones se establecen los cuatro elementos críti-
rez de riesgo de una organización, la direc- básicas del proceso para establecer este cos de gobernabilidad necesarios para
ción debe proporcionar los conocimientos marco, diferenciándose las siguientes fa- que el apetito de riesgo sea útil para la
suficientes del apetito de riesgo a toda la ses: organización.
organización, como los niveles de toleran- · Diseño del apetito de riesgo: mediante - Autorización: se establecen los ele-
cia al riesgo y las normas de su progresivi- la interacción de elementos como la cul- mentos para la supervisión del proce-
dad. tura de riesgo de la entidad, la capaci- so de establecimiento del apetito.
A su vez, como un reporte interno más a dad de riesgo que ésta tiene, su madu-
- Medición: necesidad de medir y eva-
considerar, recomienda que para tener un rez en el proceso de gestión de riesgos y
luar el apetito de riesgo para identifi-
sistema de reporte interno efectivo en la el establecimiento de diferentes apetitos
car el impacto sobre el rendimiento
organización, uno de los puntos a realizar al riesgo, en función de las diferentes
del negocio.
seguimiento y reportar es la gestión del naturalezas y situaciones que se estén
riesgo que se está llevando a cabo en fun- afrontando. - Seguimiento: Identificar las desviacio-
ción de los parámetros del apetito de ries- nes del proceso, de una forma regu-
· Construcción del apetito de riesgo:
go definidos, para poder analizar los ries- lar.
una vez la organización ha entendido
gos y tomar las medidas correctivas nece- sus capacidades para gestionar el ries- - Aprendizaje: identificar las posibles
sarias al respecto, mediante el diseño de go, se afrontan las cuestiones relaciona- áreas de mejora para perfeccionarlas
controles específicos y análisis posterior de das con el establecimiento y seguimien- en el futuro.
la efectividad de los mismos. to del apetito de riesgo. En concreto, el
marco propuesto establece diferentes Código Unificado de Buen Gobierno Cor-
The Institute of Risk Management (IRM). niveles de riesgo (estratégico, táctico y porativo (Código Conthe).
El IRM es una institución independiente operacional) en conjunción con la pro- El Gobierno de España, por acuerdo de 29
basada en el Reino Unido que desarrolla pensión de la organización a asumir de julio de 2005, creó un grupo especial
59
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
de trabajo para asesorar a la Comisión Na- cipio anglosajón de “cumplir o explicar”, tacionales, etc.) a los que se enfrenta la
cional del Mercado de Valores (CNMV) en lo que supone la voluntariedad en la apli- sociedad, incluyendo entre los financie-
la armonización y actualización de las re- cación de las recomendaciones o, por el ros o económicos, los pasivos contin-
comendaciones de los Informes Olivencia y contrario, explicar e indicar de forma clara gentes y otros riesgos fuera de balance.
Aldama sobre buen gobierno de las socie- aquellos motivos que justifican la no apli- f) La fijación del nivel de riesgo que la So-
dades cotizadas, así como para formular cación de las mismas. ciedad considere aceptable.
las recomendaciones complementarias que En relación directa con el apetito de riesgo g) Las medidas previstas para mitigar el
juzgara precisas. El resultado se conoce co- el Código establece, en la recomendación impacto de los riesgos identificados, en
mo Código Unificado de Buen Gobierno, o número 49 relativa al Comité de Auditoría, caso de que lleguen a materializarse.
Código Conthe, debido al apellido del Pre- de una manera específica:
h) Los sistemas de información y control
sidente de la CNMV en ese momento, Ma- “Que la Política de control y gestión de interno que se utilizarán para controlar y
nuel Conthe. riesgos identifique, al menos: gestionar los citados riesgos, incluidos
Se trata de un código dirigido únicamente e) Los distintos tipos de riesgo (operativos, los pasivos contingentes o riesgos fuera
a sociedades cotizadas, basado en el prin- tecnológicos, financieros, legales, repu- de balance.”
60
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Edita Patrocina