Integrante: Raúl Carpio Carrasco.

Jueves, 20 de julio de 2023

Índice de Contenido

Resumen del Caso en estudio: .................................................................................................................................3

Pregunta 1: ...............................................................................................................................................................4
Pregunta 2: ...............................................................................................................................................................5
Pregunta 3: ...............................................................................................................................................................6
Pregunta 4: ...............................................................................................................................................................7
Pregunta 5: ...............................................................................................................................................................7
Pregunta 6: ...............................................................................................................................................................9

2
Resumen del Caso en estudio:

• Contexto:
Empresa de telecomunicaciones.

• Necesidad:
Con el aumento constante de las amenazas cibernéticas, la empresa se da cuenta de que necesita
mejorar su postura de seguridad para proteger a sus clientes y a la propia empresa. Para lo anterior,
su Consejo de Administración está trabajando en la revisión del su apetito de riesgo para la
seguridad de la información.

• Problemática:
Conflicto entre los diferentes actores del nivel gerencial. Cada actor tiene su propia opinión sobre
el nivel de riesgo que la empresa debería estar dispuesta a aceptar y cómo se deben priorizar los
diferentes riesgos.

• Opinión gerencial para el nivel de apetito de la empresa:

CIO: Cree en un enfoque más agresivo en mitigar riesgos, por lo que está a favor que la empresa
adopte un bajo apetito al riesgo.

CFO: Cree en un enfoque más conservador en la mitigación de riesgos, por lo que está a favor que
la empresa adopte un nivel moderado o equilibrado de apetito al riesgo.

• Análisis interno y externo que influyen en la decisión sobre el nivel de apetito de riesgo:
a. Empresa inserta en una industria altamente regulada, por lo que es necesario que tenga un
apetito de riesgo más bajo para cumplir con las regulaciones.
b. Empresa líder en el mercado (dominante), lo que le permite tener un apetito de riesgo más alto
en comparación con las otras empresas.
c. Es una empresa de gran tamaño y con una estructura organizacional compleja, por lo que es
necesario que tenga un apetito de riesgo más bajo.
d. La empresa maneja información crítica de sus clientes, por lo que es necesario que tenga un
apetito de riesgo más bajo.

3
Pregunta N°1:
Si usted fuese parte del Consejo de Administración y tuviese que participar en la toma de decisión
sobre apetito de riesgo de la empresa: ¿Cómo cree que se debería definir el apetito de riesgo de la
empresa? ¿Alto, Moderado, Bajo? ¿Por qué?

Respuesta:

Si yo fuese parte del Consejo de Administración, sugeriría establecer un enfoque “moderado” para el
apetito de riesgo de la compañía. Para llegar a dicha recomendación, sobre la base de los antecedentes
aportados en el caso, me sustentaría en los siguientes puntos:

a. Equilibrio entre seguridad y competitividad: Luego de considerar las opiniones del CIO y CFO, se
resalta la importancia de proteger tanto a los clientes como a la propia empresa contra amenazas
de ciberseguridad, pero también es necesario reconocer la importancia que asumir riesgos de
manera estratégica es esencial para mantener la competitividad en un mercado en constante
evolución como es el de las telecomunicaciones. Un enfoque demasiado conservador podría limitar
las oportunidades de crecimiento y adaptación a las nuevas tecnologías, mientras que un enfoque
muy agresivo podría exponer a la empresa a riesgos innecesarios.

b. Cumplimiento regulatorio: Dado que TelCo opera en una industria altamente regulada, tomaría en
cuenta la normativa y estándares específicos de seguridad de la industria de las telecomunicaciones
en Chile para garantizar que el nivel de apetito de riesgo sea adecuado para satisfacer dichas
obligaciones legales.

c. Complejidad organizacional: Considerando que TelCo es una empresa de gran tamaño y con una
estructura organizacional compleja, sería prudente considerar que un enfoque más conservador en
la gestión de riesgos podría ayudar a mantener una operación más estable y controlada.

d. Importancia de la información del cliente: Teniendo en cuenta que la empresa maneja información
crítica de sus clientes, abogaría en este aspecto por un apetito de riesgo más bajo para asegurar la
confidencialidad, integridad y disponibilidad de los datos sensibles de los usuarios.

Del análisis anterior, un apetito al riesgo de nivel “moderado” sería el más adecuado para TelCo por
cuanto permitiría mantener un equilibrio entre la seguridad de la información y la capacidad de innovar
y crecer. De igual firma, le proporcionaría una ventaja competitiva, esto al alinear su apetito de riesgo
con la posición de liderazgo que mantiene en el mercado, mientras se mantiene una gestión
responsable de los riesgos.

4
Pregunta N°2:
¿Qué podría ocurrir si se define mal el apetito de riesgos?

Respuesta:

Si el apetito de riesgos es definido incorrectamente, la empresa podría verse expuesta a graves

consecuencias tales como:

• Desalineamiento con objetivos estratégicos definidos por la empresa.

• Exposición a niveles inaceptables de riesgo.
• Exposición a amenazas de ciberseguridad.
• Incumplimiento de normas y regulaciones impuestas al sector industrial.
• Pérdida de confianza de los inversionistas y de reputación.
• Impacto financiero.

De esta forma, resulta fundamental que el proceso de toma de decisiones para definir el apetito de
riesgos sea cuidadoso, bien informado y respaldado por una evaluación completa de los factores
internos y externos que afectan a la empresa. Sumado a lo anterior, resulta relevante además que exista
una comunicación clara y colaboración entre los miembros del Gobierno Corporativo (Directorio,
consejo administrativo y dirección ejecutiva) y actores clave, por cuanto es esencial para garantizar una
gestión efectiva de los riesgos y la protección adecuada de la empresa.

5
Pregunta 3:
¿Por qué el apetito de riesgos lo define el Órgano de Gobierno?

Respuesta:

El Órgano de Gobierno al tener como rol la representación de los accionistas o propietarios de la

empresa, cuenta con la autoridad para tomar decisiones clave en nombre de la empresa, como
establecer la dirección estratégica y los objetivos de la empresa y la gestión de riesgos. De esta forma,
la definición del apetito de riesgo de la empresa corresponde a una decisión de alto nivel que permite
asegurar que esta sea gestionada de manera responsable y en beneficio de sus propietarios.

6
Pregunta 4:
¿Qué ocurre cuando el apetito de riesgo es alto, pero la tolerancia al riesgo es baja? Comente.

Respuesta:

Para comprender de mejor forma lo que ocurriría cuando se combina un apetito de riesgo alto con
una tolerancia al riesgo baja, se determinará que implica cada uno:

→ Apetito de riesgo ALTO: Implica que la empresa estaría dispuesta a aceptar más y mayores riesgos
con la expectativa que la probabilidad de obtener mayores beneficios supere a los costos potenciales,
posibilitándole de esta forma alcanzar mayores oportunidades y recompensas.

→ Tolerancia al riesgo BAJA: Implica que la empresa tiene una ínfima capacidad para absorber la
ocurrencia de eventos de riesgos, pudiéndola afectar significativamente en su capacidad para operar y
cumplir con sus objetivos.

Ahora bien, al plantearse un escenario en que ambas condiciones coexistirían conjuntamente, lo

primero que llama la atención es que se configuraría una situación de discrepancia, por cuanto estas
dos perspectivas no se encuentran alineadas, dejando expuesta a la empresa a riesgos cuya
materialización supere sus límites y su capacidad para soportar posibles pérdidas.

De igual forma, esta discrepancia puede dar lugar a conflictos en la toma de decisiones, inconsistencias
en la gestión de riesgos, impacto en la reputación y la confianza, y falta de alineación con los objetivos
estratégicos.

7
Pregunta 5:
¿Qué ocurre cuando el apetito de riesgo es baja, pero la tolerancia al riesgo es alta? Comente

Considere la siguiente empresa, competencia de TelCo llamada “Red de Telecomunicaciones del

Norte” quien opera en la zona norte del país. Ella presenta las siguientes características:
• Monopolio natural: RTN opera en un área geográfica donde tiene una posición de monopolio
natural en la industria de las telecomunicaciones.
• Normativa regulatoria: RTN está sujeta a normativas específicas de la industria de las
telecomunicaciones.
• Confidencialidad de la información: RTN maneja información confidencial de sus clientes, como
información de facturación y de servicios contratados.

Respuesta:

Para comprender de mejor forma lo que ocurriría cuando se combina un apetito de riesgo bajo con
una tolerancia al riesgo alto, se determinará que implica cada uno:

→ Apetito de riesgo BAJO: Implica que la empresa es más adversa a asumir riesgos, adoptando una
postura más cautelosa y conservadora. De preferencia evitará o mitigará los riesgos en lugar de
asumirlos, priorizando la seguridad y la estabilidad sobre la búsqueda de oportunidades de alto riesgo.

→ Tolerancia al riesgo ALTO: Implica que la empresa tiene una mayor capacidad para absorber la
ocurrencia de eventos de riesgos sin que esto le afecte significativamente en su capacidad para operar
y cumplir con sus objetivos.

Al combinar ambas perspectivas, nos encontraríamos nuevamente ante un escenario de discrepancia,

ya que al considerar -además- las características señaladas para la empresa “RTN”, es evidente que
dicha estrategia (Apetito de riesgo bajo + tolerancia al riesgo alto) llevará a que la empresa actúe con
una excesiva cautela, lo que le podría implicar el desaprovechar oportunidades valiosas de crecimiento,
adaptación a nuevas tecnologías, acceso a mayores retornos, junto con limitar significativamente su
capacidad de innovación.

8
Pregunta 6:
¿Cómo se podría diferenciar el apetito y tolerancia al riesgo de RTN con TelCo? ¿Por qué se da esta
diferencia?

Respuesta:

Las principales diferencias en cuanto al apetito y tolerancia al riesgo óptimo tanto para TelCo como
para RTN, radica principalmente en la evaluación de los factores internos y externos que le afectan a
cada una.

En los casos en comentos, si bien ambas empresas tienen como puntos en común como son: dar
cumplimiento a la regulación del sector de las telecomunicaciones y la protección/confidencialidad de
la información crítica de sus clientes, la diferencia en el apetito y tolerancia al riesgo que cada una de
las empresas adopte finalmente, está sujeta a su entorno.

En el caso particular de TelCo, al ser una empresa líder en el mercado, de gran tamaño y con una
estructura organizacional compleja, indudablemente se encontraría expuesta a un mayor nivel de
riesgos asociados a ataques de ciberseguridad (es una “presa” más relevante), reputacional (cualquier
incidente tendría mayor impacto y cobertura comunicacional) y pérdida de confianza de los
inversionistas/clientes, generando un impacto financiero. La suma de dichos factores implica que el
apetito de riesgo de TelCo debe tender a ser menor que el de RTN y la tolerancia al riesgo de TelCo, al
considerar su posicionamiento dominante en el mercado y las inversiones en tecnología de seguridad
de la información avanzada para proteger su infraestructura y datos, tendería a ser mayor que el que
podría definir RTN.