Apetito por el riesgo

El apetito de riesgo es el nivel de riesgo que una organización está dispuesta a aceptar en pos de sus objetivos ^[1] antes de que se considere necesario tomar medidas para reducirlo. Representa un equilibrio entre los beneficios potenciales de la innovación y las amenazas que inevitablemente trae consigo el cambio. Este concepto ayuda a orientar el enfoque de una organización en materia de gestión de riesgos . El apetito de riesgo es un factor que se incluye en los criterios de riesgo de una organización , que se utilizan para la evaluación de riesgos ^[2] .

Definición

La norma ISO 31000 define el apetito de riesgo como la "cantidad y tipo de riesgo que una organización está dispuesta a asumir o retener". ^[3]

El apetito de riesgo se ve afectado por definiciones inconsistentes o ambiguas, pero estudios rigurosos de gestión de riesgos han ayudado a remediar la falta de consenso. ^[4] En el resto de esta sección se compara la definición estandarizada del apetito de riesgo con otros términos relacionados.

Umbral de riesgo

Dado que el apetito de riesgo se puede estratificar en niveles de riesgo, el umbral de riesgo se puede definir como el límite superior del apetito de riesgo. ^[5] El umbral de riesgo también se puede definir como la exposición máxima ^[6] antes de que sea necesario el tratamiento del riesgo (es decir, la acción para reducir el riesgo).

El término apetito de riesgo se utiliza a menudo de forma ambigua para referirse a todos los niveles de riesgo por debajo del umbral o solo al nivel del umbral.

Actitud ante el riesgo

La actitud frente al riesgo es el enfoque de una organización hacia (evaluar y eventualmente perseguir, retener, tomar o rechazar) el riesgo. ^[7] El apetito por el riesgo es la cantidad y el tipo de riesgo que una organización está dispuesta a perseguir, retener o tomar.

Según el modelo de apetito por el riesgo y actitud ante el riesgo (RARA), estos dos conceptos "actúan como factores mediadores entre una amplia gama de factores de entrada y resultados clave", lo que ayuda a la toma de decisiones . El apetito por el riesgo se expresa en forma de umbrales de riesgo, mientras que la actitud ante el riesgo influye en la elección de los umbrales de riesgo. ^[4]

Tolerancia al riesgo

Mientras que el apetito de riesgo es la cantidad de riesgo que una organización está dispuesta a asumir, la tolerancia al riesgo es la cantidad de riesgo que una organización es capaz de asumir. Por lo tanto, el umbral de riesgo de una organización siempre es menor o igual a su tolerancia al riesgo. ^[5] La exposición que supera el límite de tolerancia al riesgo (que no debe confundirse con el umbral de riesgo) a veces se denomina "riesgo inaceptable", ya que no pasa la fase de aceptación del riesgo ^[8] . ^[9]

Para dar un ejemplo sencillo, pensemos en una organización que está dispuesta a pedir un préstamo de 50.000 dólares, pero que es capaz de pedir 100.000. En este contexto, 50.000 y 100.000 dólares son niveles de riesgo; el primero es el umbral, el segundo es la tolerancia; es posible que se pueda distinguir cada tramo de 10.000 dólares (por debajo de 50.000) como una tolerancia al riesgo diferente. Un préstamo de cualquier valor superior a 100.000 dólares (o varios préstamos que sumen lo mismo, es decir, múltiples riesgos) se considera un riesgo inaceptable. Este ejemplo combina la medición del riesgo cualitativa y cuantitativa.

Gestión de riesgos

A menudo se confunde la gestión de riesgos con el apetito de riesgo , ^{[ cita requerida ]} y el rigor de la primera está recuperando parte del terreno perdido frente a la vaguedad de la segunda. Cuando se deriva correctamente, el apetito de riesgo es una consecuencia de un análisis riguroso de la gestión de riesgos, no un precursor. Las técnicas sencillas de gestión de riesgos abordan el impacto de los eventos peligrosos, pero ignoran la posibilidad de efectos colaterales de un mal resultado, como por ejemplo la quiebra técnica. La cantidad que se puede poner en riesgo depende de la cobertura disponible en caso de que haya una pérdida, y un análisis adecuado tiene esto en cuenta. El "apetito" se desprende lógicamente de este análisis. Por ejemplo, una organización debería estar "ávida de riesgo" si tiene una cobertura más que suficiente en comparación con sus competidores y, por lo tanto, debería poder obtener mayores ganancias en el mercado de emprendimientos de alto riesgo.

Medición

Cualitativo

A continuación se presenta un posible modelo cualitativo de apetito de riesgo (es decir, niveles de riesgo ^[10] ) que una empresa puede adoptar para garantizar una respuesta al riesgo que sea proporcional a sus objetivos comerciales. ^{[11] [12]}

• Aversión : Evitar el riesgo y la incertidumbre es un objetivo clave de la organización.
• Mínimo : preferencia por opciones ultra seguras y de bajo riesgo que solo tienen un potencial de recompensa limitado.
• Cauteloso : preferencia por opciones seguras que tengan un bajo grado de riesgo y puedan tener un potencial limitado de recompensa.
• Abierto : dispuesto a considerar todas las opciones posibles y elegir la que tenga más probabilidades de dar como resultado una entrega exitosa, ofreciendo al mismo tiempo un nivel aceptable de recompensa y relación calidad-precio.
• Hambriento : ansioso por ser innovador y elegir opciones que ofrezcan recompensas comerciales potencialmente mayores, a pesar del mayor riesgo inherente.

Un enfoque más complejo podría tener múltiples dimensiones de riesgo, como una matriz de riesgo .

El modelo apropiado puede variar en una organización, y diferentes partes del negocio pueden adoptar un apetito que refleje su rol específico, con un marco general de apetito de riesgo para garantizar la coherencia.

Cuantitativo

No siempre es posible realizar mediciones precisas (cuantitativas) y, en ocasiones, la tolerancia al riesgo se definirá mediante una declaración general de enfoque o categorías cualitativas. Una organización puede tener tolerancia a algunos tipos de riesgo y aversión a otros, según el contexto y las posibles pérdidas o ganancias.

Sin embargo, a menudo se pueden desarrollar medidas para diferentes categorías de riesgo. Por ejemplo, puede resultar útil para un proyecto saber qué nivel de retraso o pérdida financiera se le permite soportar. Cuando una organización cuenta con medidas estándar para definir el impacto y la probabilidad de los riesgos, esto se puede utilizar para definir el nivel máximo de riesgo tolerable antes de que se deban tomar medidas para reducirlo. ^[13]

Implementación

En algunos contextos organizacionales, el directorio es responsable de establecer el nivel de riesgo que la organización puede asumir. En el Reino Unido, el Consejo de Información Financiera afirma: "el directorio determina la naturaleza y el alcance de los riesgos significativos que la empresa está dispuesta a asumir". ^[14] El nivel apropiado dependerá de la naturaleza del trabajo realizado y de los objetivos que se persigan. Por ejemplo, cuando la seguridad pública es crítica (por ejemplo, el funcionamiento de una central nuclear), el nivel de riesgo tenderá a ser bajo, mientras que en el caso de un proyecto innovador (por ejemplo, el desarrollo inicial de un programa informático innovador) puede ser muy alto, con la aceptación de un fracaso a corto plazo que podría allanar el camino hacia el éxito a largo plazo.

En otros contextos, una vez que la alta dirección ha establecido objetivos y expectativas amplios que integran los aportes de todas las partes interesadas y las obligaciones de la organización, la toma de decisiones se delega a los funcionarios autorizadores . ^[15] Estos funcionarios están autorizados a tomar decisiones de aceptación de riesgos en distintos umbrales de criterios de aceptación de riesgos; diferentes criterios de aceptación pueden requerir que se autorice la aceptación a niveles superiores de la dirección. ^[16]

Propósito y beneficios

Al definir su tolerancia al riesgo, una organización puede alcanzar un equilibrio adecuado entre la innovación descontrolada y la cautela excesiva. Puede orientar a las personas sobre el nivel de riesgo permitido y fomentar la coherencia de enfoques en toda la organización.

Establecer niveles aceptables de riesgo también significa que no se gastan recursos en reducir aún más los riesgos que ya se encuentran en un nivel aceptable.

Áreas principales

En la literatura, hay seis áreas principales de apetito de riesgo:

1. financiero
2. salud
3. recreativo
4. ético
5. social
6. información

Véase también

• Gestión de riesgos empresariales
• Análisis de riesgos

Referencias

1. Resultado a alcanzar

   Nota 1: Un objetivo puede ser estratégico, táctico u operativo.

   Nota 2: Los objetivos pueden relacionarse con diferentes disciplinas (como objetivos financieros, de salud y seguridad y ambientales) y pueden aplicarse en diferentes niveles (como estratégico, de toda la organización, de proyecto, de producto y de proceso).

   Nota 3: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, como un objetivo del sistema de gestión o mediante el uso de otras palabras con un significado similar (por ejemplo, objetivo, meta, propósito).

   ISO 31073:2022 — Gestión de riesgos — Vocabulario — Objetivo.
2. "6.3.4 Definición de criterios de riesgo". ISO 31000:2018 — Gestión de riesgos — Directrices.
3. ISO 31073:2022 — Gestión de riesgos — Vocabulario — Apetencia al riesgo . Consultado el 17 de julio de 2024 .
4. Hillson, David; Murray-Webster, Ruth. "Uso del apetito de riesgo y la actitud ante el riesgo para respaldar la toma de riesgos adecuada: una nueva taxonomía y modelo". Journal of Project, Program & Portfolio Management . 2 (1). doi :10.5130/pppm.v2i1.2188 . Consultado el 17 de julio de 2024 .
5. "Materialidad y gestión de riesgos en materia de ciberseguridad". ComplianceForge . Consultado el 17 de julio de 2024 .

6. medida en que una organización y/o parte interesada está sujeta a un evento

   ISO 31073:2022 — Gestión de riesgos — Vocabulario — Exposición . Consultado el 16 de julio de 2024 .
7. ISO 31073:2022 — Gestión de riesgos — Vocabulario — Actitud ante el riesgo . Consultado el 16 de julio de 2024 .

8. decisión informada de asumir un riesgo particular

   Nota 1: La aceptación del riesgo puede ocurrir sin tratamiento del riesgo o durante el proceso de tratamiento del riesgo.

   Nota 2: Los riesgos aceptados están sujetos a seguimiento y revisión.

   ISO 31073:2022 — Gestión de riesgos — Vocabulario — Aceptación de riesgos . Consultado el 17 de julio de 2024 .
9. Pratt, Mary (septiembre de 2023). "¿Qué es un perfil de riesgo?". TechTarget . Consultado el 17 de julio de 2024 .

10. magnitud de un riesgo o combinación de riesgos, expresada en términos de la combinación de consecuencias y su probabilidad

    ISO 31073:2022 — Gestión de riesgos — Vocabulario — Nivel de riesgo . Consultado el 16 de julio de 2024 .
11. Pensando en el riesgo - Cómo gestionar su apetito por el riesgo: Guía para profesionales Noviembre de 2006 HM Treasury , página 12.
12. Chief Financial Officers Council; Performance Improvement Council (28 de noviembre de 2022). "Playbook: Enterprise Risk Management (ERM) for the US Federal Government" (PDF) . Oficina de Soluciones Compartidas y Mejora del Desempeño de la Administración de Servicios Generales . pág. 31 . Consultado el 16 de julio de 2024 .
13. Hassani, BK (2015). "Apetito de riesgo en la práctica: Vulgaris Mathematica". Revista IUP de Gestión de Riesgos Financieros . 12 (1): 7–22. SSRN  2672757.
14. "Guía sobre la eficacia de las juntas directivas" (PDF) . FEC . Consultado el 2 de julio de 2019 .
15. Joint Task Force (diciembre de 2018). «SP 800-37 Rev. 2: Marco de gestión de riesgos para sistemas de información y organizaciones». Laboratorio de tecnología de la información del NIST . pág. 33. Consultado el 16 de julio de 2024 .
16. ISO/IEC 27005:2022 — Seguridad de la información, ciberseguridad y protección de la privacidad — Orientación sobre la gestión de riesgos de seguridad de la información (4.ª ed.). pág. 11.